보안 인시던트에 대한 조사 도구

보안 인시던트, 각 도구가 가장 잘 사용되는 항목 및 사용 가능한 데이터에 영향을 주는 일반적인 고려 사항을 조사하는 데 사용할 수 있는 핵심 GitHub 도구입니다.

이 기사에서

이 참조를 사용하여 보안 조사 중에 사용할 도구, 각 도구가 대답할 수 있는 질문 및 볼 수 있는 데이터에 영향을 줄 수 있는 요소를 결정 GitHub 합니다.

참고

각 도구(및 제공하는 데이터)의 가용성은 계획, 역할 및 권한, 기능 사용 및 사전 인시던트 구성에 따라 GitHub 달라집니다(예: 감사 로그 스트리밍 및 IP 주소 공개에는 사전 설정 필요).

활동 보기

사용하세요

  • 정의된 기간 동안 특정 행위자에 기인하는 병합, 푸시, 강제 푸시, 분기 만들기 및 삭제를 비롯한 특정 리포지토리의 활동에 대한 개요 를 가져옵니다.
  • 의심스러운 코드 모양과 관련 푸시 또는 병합의 상관 관계를 지정합니다.
  • 변경된 시기, 변경한 사람, 어느 브랜치에서 이루어졌는지에 대한 질문에 답하고, diff 또는 커밋 기록을 탐색합니다.

Permissions

리포지토리에 대한 읽기 권한입니다.

주요 리소스

참고 사항 및 제한 사항

  • 활동 보기는 초기 탐색 및 상관 관계 화면으로 가장 적합합니다. 원시 감사 로그 내보내기와 동일한 완전성 또는 쿼리 성능이 없습니다.
  • 일부 인시던트에는 리포지토리 또는 조직 간에 상관 관계가 필요하므로 감사 로그에서 더 쉬울 수 있습니다.

감사 로그

사용하세요

  • 기업 또는 조직에서 무엇이 변경되었는지, 언제, 그리고 누가 변경했는지에 대한 질문에 답변합니다.
  • 손상이 가능할 수 있는 이벤트를 조사하거나 멤버 자격, 역할, 권한 또는 액세스 토큰 생성 또는 사용과 같은 변경 내용과 같이 이를 나타냅니다.
  • 행위자(사용자 또는 통합)에 대한 보안 관련 작업을 특성화하고 조사 타임라인을 작성합니다.
  • 행위자, 작업, IP 주소(활성화된 경우) 또는 토큰을 필터링하여 의심스러운 활동 또는 추적 토큰 사용량을 식별합니다.
  • 여러 리포지토리 또는 조직 간에 활동을 상호 연결합니다.

Permissions

  • 조직 감사 로그를 보려면 조직 소유자여야 합니다.
  • 엔터프라이즈 감사 로그를 보려면 엔터프라이즈 관리자여야 합니다.
  • 보안 로그(개인 계정)를 보려면 계정 소유자여야 합니다.
  • 외부 SIEM(보안 정보 및 이벤트 관리) 시스템, 로그 관리 시스템 또는 기타 도구 및 서비스로 내보낸 감사 로그 데이터를 보려면 해당 시스템에 액세스해야 합니다.

주요 리소스

참고 사항 및 제한 사항

  • GitHub 에서는 엔터프라이즈, 조직 및 사용자 보안 로그의 세 가지 감사 로그를 제공합니다.
  • GitHub 감사 로그 UI에는 제한된 필터링 및 검색 기능이 있습니다. 이러한 이유로 엔터프라이즈는 고급 쿼리를 위해 엔터프라이즈 감사 로그를 외부 SIEM 또는 로그 관리 시스템으로 스트리밍 하는 것이 좋습니다.
    • 외부 SIEM 또는 로그 관리 시스템으로 로그 스트리밍을 감사하려면 사전 구성이 필요합니다. 엔터프라이즈에 대한 감사 로그 스트리밍을(를) 참조하세요.
    • 감사 로그 스트리밍이 없으면 조직 또는 리포지토리 간에 이벤트 상관 관계를 지정하거나 특정 토큰에서 모든 관련 이벤트로 피벗하는 등 더 복잡한 쿼리를 실행할 수 없습니다.
    • Git 이벤트 데이터는 스트림에 포함됩니다.
  • API 요청 이벤트를 스트리밍하는 것이 좋습니다. 이렇게 하려면 이전 구성이 필요합니다. 엔터프라이즈에 대한 감사 로그 스트리밍을(를) 참조하세요.
  • 엔터프라이즈의 경우 감사 로그에 GitHub Enterprise CloudIP 주소를 표시하는 것이 좋습니다. 이를 위해서는 사전 구성이 필요합니다. 엔터프라이즈의 감사 로그에 IP 주소 표시을(를) 참조하세요.
  • GitHub 플랜에 따라 데이터 가용성 및 데이터 보존 제품이 다릅니다.
    • GitHub Free 및 GitHub Team 계획에서는 API 활동이나 Git 이벤트를 전혀 볼 수 없습니다.
    • 독립 실행형 조직(엔터프라이즈에 속하지 않은 조직)은 감사 로그를 스트리밍할 수 없고, API 요청 이벤트를 볼 수 없으며, Git 이벤트 데이터의 경우 7일로 제한됩니다.
    • GitHub Enterprise Cloud 엔터프라이즈의 경우:
      • 기업에서 사용하는 Enterprise Managed Users 경우 감사 로그에는 사용자 보안 로그 (로그인 활동 및 토큰 사용량과 같은 사용자 계정과 관련된 이벤트)도 포함됩니다.
      • 엔터프라이즈에서 _사용하지_Enterprise Managed UsersGitHub 않는 경우 감사 로그에는 엔터프라이즈 계정 및 해당 내의 조직과 관련된 이벤트만 포함됩니다.
  • 감사 로그에는 페이지 보기 또는 리포지토리 검색 원격 분석이 포함되지 않습니다 .

종속성 그래프

사용하세요

  • 리포지토리가 취약하거나 손상된 패키지(또는 버전)에 따라 달라지는지 확인합니다.
  • 인시던트 중에 도입되었을 수 있는 새 종속성 또는 의심스러운 종속성을 검토합니다 .
  • 에코시스템 또는 관계(직접 또는 전이적)를 통해 종속성을 필터링하고 탐색합니다.
  • 감사 목적으로 또는 증거를 보존하기 위해 SBOM(소프트웨어 청구서)을 내보냅니다.

Permissions

  • 리포지토리에 대한 액세스를 작성하거나 유지 관리합니다.

주요 리소스

참고 사항 및 제한 사항

  • 종속성 그래프는 지원되는 매니페스트/잠금 파일(및 선택적 빌드 시간 제출)에서 생성되므로 불완전하거나 실제로 빌드 및 배포된 것과 다를 수 있습니다. 특히 CI/빌드 중에 확인된 종속성에 대해 가장 정확한 보기를 얻으려면 빌드 시간 종속성 제출(또는 SBOM과 같은 다른 빌드 출처)을 사용하여 종속성 그래프를 보완해야 합니다.

          GitHub 코드 검색

사용하세요

  • 알려진 악성 워크플로 또는 패키지 이름과 같은 리포지토리에서 IoC(손상 지표)를 검색합니다.
  • 유출된 비밀 또는 악성 코드 조각과 같은 의심스러운 코드 패턴이 조직 또는 엔터프라이즈의 다른 리포지토리에 표시되는지 확인하여 잠재적인 폭발 반경의 범위를 빠르게 지정합니다.
  • 인시던트 중에 유용할 수 있는 다양한 한정자별로 검색 범위를 지정합니다. 예를 들면 다음과 같습니다.
    • 특정 리포지토리, 조직 또는 엔터프라이즈 내에서 검색합니다(, , repo:``org: 한정자 사용enterprise:).
    • 특정 파일 경로(path:.github/workflows repo:ORG-NAME/REPO-NAME) 내에서 검색합니다.

필요한 권한

  • 공용 리포지토리에서 검색하려면 계정에 로그인 GitHub 해야 합니다.
  • 프라이빗 리포지토리에서 검색하려면 해당 리포지토리에 대한 읽기 권한이 있어야 합니다.

주요 리소스

참고 사항 및 제한 사항

  • regex 검색을 지원합니다.
  • 리포지토리의 기본 분기에서만 검색합니다. 의심스러운 코드가 기본이 아닌 분기에 도입되었으며 병합되지 않은 경우 코드 검색에서 찾을 수 없습니다.
  • 코드 검색을 사용하여 패턴 또는 IoC가 있는지 확인할 수 있지만 코드가 추가된 시기 또는 사용자와 같은 컨텍스트는 제공하지 않습니다. 감사 로그, 활동 보기 또는 비난 보기 확인, 커밋 기록 및 리포지토리의 끌어오기 요청 기록과 같은 다른 도구와 함께 코드 검색을 사용해야 합니다.

보안 개요 및 보안 경고

사용하세요

  • 조직 또는 엔터프라이즈의 리포지토리에서 모든 보안 경고(secret scanningcode scanning및 Dependabot 경고)에 대한 개략적인 보기를 참조하세요.
  • 이미 감지된 것을 GitHub 분류하고 어떤 리포지토리가 영향을 받았는지 식별합니다.
  • 인시던트 중에 생성된 새 경고를 추적합니다(활성 악용 또는 확산을 나타낼 수 있습니다).

필요한 권한

  • 엔터프라이즈 수준에서 조직의 데이터를 보려면 엔터프라이즈 관리자에게 관련 조직의 조직 소유자 또는 보안 관리자 역할이 있어야 합니다.
  • 조직 수준에서 리포지토리에 대한 데이터를 보려면 조직 소유자 또는 보안 관리자 역할이 필요합니다.

주요 리소스

참고 사항 및 제한 사항

  • 유출된 비밀, 취약한 코드, 취약한 종속성 및 맬웨어에 대한 경고는 인시던트 이전에 관련 기능을 사용하도록 설정하고 구성한 경우에만 표시됩니다.

워크플로 실행 및 로그

사용하세요

  • 지정된 시간에 CI/CD에서 실행된 내용(예: 실행된 명령 또는 설치된 종속성)을 확인합니다.
  • 익숙하지 않은 사용자 또는 비정상적인 시간에 트리거된 것과 같은 의심스러운 워크플로 실행을 조사하여 수행된 작업, 액세스된 비밀 및 실행된 코드를 확인합니다.
  • 워크플로에서 비밀에 액세스할 수 있는지 여부를 확인합니다.

필요한 권한

  • 리포지토리에 대한 읽기 권한입니다.

주요 리소스

참고 사항 및 제한 사항

  • GitHub 는 워크플로 로그에서 비밀을 자동으로 수정합니다.
  • 기본적으로 워크플로 로그는 90일 동안 보존 GitHub 되지만 이 보존 기간을 더 길게 구성할 수 있습니다(프라이빗 리포지토리의 경우 최대 400일).