Quando sua empresa é afetada por um incidente de segurança, você pode responder impedindo o acesso programático à sua empresa ou às suas organizações.
Ações disponíveis:
- Revogue as autorizações de SSO para remover o acesso aos recursos da organização protegidos por SSO para credenciais de usuário em sua empresa.
-
**Excluir chaves e tokens** para remover tokens de usuário e chaves SSH na sua empresa, mesmo que eles não tenham autorização de SSO (somente Enterprise Managed Users).
Na seção "Segurança de autenticação" das configurações da empresa, você pode examinar as contagens de tokens de usuário e chaves autorizadas para SSO (logon único). Em seguida, se necessário, você pode tomar medidas em relação às credenciais:
- Para membros individuais: revogue as autorizações de SSO ou exclua credenciais para um usuário específico ao responder a um incidente direcionado ou executar a limpeza de acesso de rotina.
- Para todos os membros (ação em massa): execute uma ação em massa para revogar as autorizações de SSO ou excluir credenciais em todos os membros ao responder a um incidente de segurança importante.
Acessando a página de segurança de autenticação
- Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
- Na parte superior da página, clique em Configurações.
- Na barra lateral esquerda, clique em Segurança de Autenticação.
Revisão de credenciais
Na seção "Credenciais", você pode exibir quantas credenciais de cada tipo têm pelo menos uma autorização de SSO para uma organização em sua empresa. Para saber mais, confira Sobre a autenticação com o logon único.
As contagens incluem:
- Fine-grained personal access tokens
- Personal access tokens (classic)
- Chaves SSH do usuário
-
GitHub App e tokens de acesso de usuário do OAuth app
Uma contagem exata será exibida se houver 10.000 ou menos de um tipo de token. Acima dessa figura, a descrição 10k+ tokens é exibida.
Noções básicas sobre as ações disponíveis
As seções a seguir descrevem o que cada ação faz, quais autorizações ou credenciais de SSO são afetadas e eventos de log de auditoria relacionados.
Observação
Se sua empresa não utiliza Enterprise Managed Users e não habilitou o SSO SAML, nenhuma dessas ações estará disponível. Como alternativa, se você precisar que os usuários substituam personal access tokens como parte da resposta a incidentes, você poderá configurar uma política empresarial para expirar tudo personal access tokens. Confira Como impor políticas para tokens de acesso pessoal na empresa.
Revogar autorizações de SSO
Esta ação está disponível para Enterprise Managed Users ou empresas que usam SSO via SAML.
A revogação de autorizações remove as autorizações de SSO para tokens de usuário e chaves SSH, seja para um usuário específico ou para todas as organizações na sua empresa.
- As credenciais que tiveram as autorizações de SSO revogadas não podem ser novamente autorizadas para as organizações afetadas. Para restaurar o acesso, os usuários devem criar novas credenciais e autorizá-las.
- As credenciais em si não são excluídas, e suas permissões para os escopos do usuário e da empresa, assim como para organizações não protegidas por SSO, permanecem ativas.
- As credenciais que não foram autorizadas para SSO não são afetadas.
A autorização para fine-grained personal access tokens funciona de forma diferente, portanto, essa ação tem um efeito diferente nesse tipo de token. Para PATs refinadas em que uma organização é o "proprietário do recurso", o proprietário do recurso é removido, removendo o acesso aos recursos da organização. Os usuários podem alterar o proprietário do recurso de volta para a conta da organização, o que pode exigir aprovação (consulte Como impor políticas para tokens de acesso pessoal na empresa).
Excluir chaves e tokens
Essa ação está disponível apenas para Enterprise Managed Users .
Excluir chaves e tokens remove as credenciais que têm acesso à sua empresa, seja para um usuário específico ou para todos os usuários, independentemente de estarem autorizados para SSO. As credenciais param de funcionar e não estão mais visíveis na interface do usuário.
Para restaurar o acesso programático, os usuários devem criar novas credenciais, autorizá-las com organizações, se necessário, e atualizar os processos afetados para usar as novas credenciais.
Credenciais incluídas
Ambas as ações incluem os seguintes tipos de credencial:
- Chaves SSH do usuário
- OAuth apps tokens de acesso do usuário (
ghu_) - GitHub App tokens de acesso do usuário
- Personal access tokens (classic)
- Fine-grained personal access tokens
Observe que a ação "revogar autorizações" funciona de forma diferente para fine-grained personal access tokens, conforme explicado acima.
Os seguintes tipos de credencial não são afetados:
- GitHub App tokens de instalação (
ghs_) - Fine-grained personal access tokens
- Chaves de implantação
- GitHub Actions
GITHUB_TOKENAcesso
Eventos de log de auditoria e segurança
A ação "revogar autorizações" gera os seguintes eventos:
org_credential_authorization.deauthorizeorg_credential_authorization.revokepersonal_access_token.access_revoked
A ação "excluir tokens" também gera esses eventos e, além disso, gera os seguintes eventos:
oauth_access.destroypersonal_access_token.destroy
Tomando medidas contra membros individuais
Você pode revogar as autorizações de SSO ou excluir credenciais de um usuário específico. Isso é útil para responder a incidentes que afetam contas individuais, como uma conta comprometida ou hardware perdido, ou para limpeza de acesso de rotina.
Revogando autorizações para um usuário específico
- Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
- Na parte superior da página, clique em Configurações.
- Na barra lateral esquerda, clique em Segurança de Autenticação.
- Na seção "Zona de perigo", clique em Revogar para ▼e clique em Um usuário específico.
- Selecione o usuário cujas autorizações você deseja revogar.
- Para confirmar, digite
USERNAME credentials(substituindoUSERNAMEpelo nome de usuário do usuário). - Clique em Revogar autorizações.
Excluindo credenciais para um usuário específico
Essa ação está disponível apenas para Enterprise Managed Users .
- Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
- Na parte superior da página, clique em Configurações.
- Na barra lateral esquerda, clique em Segurança de Autenticação.
- Na seção "Zona de perigo", clique em Excluir para ▼e, em seguida, clique em Um usuário específico.
- Selecione o usuário cujas credenciais você deseja excluir.
- Para confirmar, digite
USERNAME credentials(substituindoUSERNAMEpelo nome de usuário do usuário). - Clique em Excluir chaves e tokens.
Tomando medidas em massa contra todos os membros
Use os botões de ação em massa da zona Perigo para responder a um incidente de segurança importante, tomando medidas contra todos os membros da sua empresa.
Aviso
Ações em massa são ações de alto impacto que devem ser reservadas para incidentes de segurança importantes. É provável que eles interrompam as automações, e isso pode levar meses de trabalho para restaurar o seu estado original.
Revogando autorizações para todos os membros
- Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
- Na parte superior da página, clique em Configurações.
- Na barra lateral esquerda, clique em Segurança de Autenticação.
- Na seção "Zona de perigo", clique em Revogar para ▼e clique em Todos os usuários.
- Leia o aviso sobre o impacto dessa ação.
- Para confirmar, digite o nome da sua empresa.
- Clique em Revogar autorizações.
Excluir credenciais de todos os membros
Essa ação está disponível apenas para Enterprise Managed Users .
- Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
- Na parte superior da página, clique em Configurações.
- Na barra lateral esquerda, clique em Segurança de Autenticação.
- Na seção "Zona perigo", clique em Excluir para ▼e clique em Todos os usuários.
- Leia o aviso sobre o impacto dessa ação.
- Para confirmar, digite o nome da sua empresa.
- Clique em Excluir chaves e tokens.
Recursos para respostas de menor escala
Os artigos a seguir descrevem ações alternativas para gerenciar incidentes menores no escopo, em que você pode identificar tokens ou contas de usuário comprometidas específicas.