{"meta":{"title":"Общие области расследования инцидентов с безопасностью","intro":"Справочник для расследования инцидентов безопасности по нескольким векторам атак, включая ключевые поверхности и инструменты для проверки GitHub.","product":"Безопасность и качество кода","breadcrumbs":[{"href":"/ru/code-security","title":"Безопасность и качество кода"},{"href":"/ru/code-security/reference","title":"Reference"},{"href":"/ru/code-security/reference/security-incident-response","title":"Реагирование на инциденты"},{"href":"/ru/code-security/reference/security-incident-response/investigation-areas","title":"Области исследования"}],"documentType":"article"},"body":"# Общие области расследования инцидентов с безопасностью\n\nСправочник для расследования инцидентов безопасности по нескольким векторам атак, включая ключевые поверхности и инструменты для проверки GitHub.\n\nЭта справочная статья показывает, какие GitHub инструменты стоит использовать и какие GitHub поверхности проверять при реагировании на инцидент с безопасностью. Используйте эту статью, чтобы направлять своё исследование по основным категориям угроз.\n\nДля полных рекомендаций по реагированию на инцидент с безопасностью, включая **стратегии сдерживания**, см. [Реагирование на инцидент с безопасностью](/ru/code-security/tutorials/secure-your-organization/responding-to-security-incidents).\n\n> \\[!IMPORTANT]\n> Доступность каждого инструмента (и предоставляемых им данных) зависит от GitHub плана, роли, разрешений, включения функций и конфигурации до инцидента (например, потоковая запись журналов аудита и раскрытие IP-адреса требуют предварительной настройки). Дополнительные сведения см. в разделе [Инструменты расследования инцидентов с безопасностью](/ru/code-security/reference/security-incident-response/investigation-tools).\n>\n> Имейте в виду, что реальные инциденты с безопасностью редко связаны с одним вектором атаки. Компрометация учетных данных может привести к вредоносной инфильтрации кода, что может позволить вывести данные. При расследовании сигнала угрозы будьте готовы перейти к другим областям расследования, а также проходить через сдерживание, более глубокое расследование и устранение, обнаруживая новые признаки компрометации и по мере развития вашего понимания модели угрозы.\n\n## Раскрытые или скомпрометированные учетные данные\n\nЭтот раздел может применяться, когда:\n\nВы подозреваете, что токен или ключ был украден или использован, получил secret scanning оповещение или обнаружили учетные данные в коде, логах или публичном репозитории.\n\n### Что проверить\n\n* Поискайте в журнале аудита:\n * Действия, предпринятые скомпрометированным токеном, при поиске всех событий, связанных с этим токеном. См [. раздел AUTOTITLE](/ru/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/identifying-audit-log-events-performed-by-an-access-token).\n * Действия, предпринимаемые неожиданными участниками или неизвестными IP-адресами (если раскрытие IP-адреса включено).\n* Проверьте secret scanning уведомления на предмет релевантных находок, чтобы оценить местонахождение, распространение и достоверность утечки секрета.\n* Используйте обзор безопасности для вашего предприятия или организации для выявления тенденций или активности между репозиториями.\n* Используйте GitHub поиск по коду, чтобы проверить секреты, раскрытые в коде, `.env` файлах или конфигурационных файлах разных репозиториев.\n\n### Ключевые инструменты\n\n| Инструмент | Purpose |\n| ----------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------- |\n| [Журнал аудита](/ru/code-security/reference/security-incident-response/investigation-tools#audit-logs) | Использование токена трассировки |\n| [Общие сведения о безопасности](/ru/code-security/reference/security-incident-response/investigation-tools#security-overview) | Просмотр оповещений и активности на уровне организации или предприятия, особенно secret scanning оповещений |\n| \\[ | |\n| GitHub Поиск по коду]\\(/code-security/reference/security-incident-response/investigation-tools#github-code-search) | Ищите открытые учетные данные в коде |\n\n### Ключевые ресурсы\n\n* [Действия по сдерживанию](/ru/code-security/tutorials/secure-your-organization/responding-to-security-incidents#step-2-contain-the-threat)\n* [Устранение утечки секрета в репозитории](/ru/code-security/tutorials/remediate-leaked-secrets/remediating-a-leaked-secret)\n\n## Несанкционированный доступ и компрометация аккаунта\n\nЭтот раздел может применяться, когда:\n\nВы заметили необычную активность входа, видели неожиданные коммиты или изменения, или обнаружили подозрительное поведение аккаунта.\n\n### Что проверить\n\n* Ищите в журнале аудита доступ **участников, разрешения или изменения ролей**. Например, ищите такие события, как `org.add_member`, `repo.add_member`, `org.add_outside_collaborator`, `org.update_member``repo.update_member``role.create``role.update`.\n* Для любых подозрительных событий в журнале аудита **указывайте актёра**. Проверьте, является ли актёр неизвестным пользователем, потенциально скомпрометированным аккаунтом или нераспознанным приложением.\n* Если у вас включена видимость IP-адресов, **проверьте, распознается ли IP-адрес** , связанный с необычными событиями или подозрительной активностью.\n* Ищите в журнале аудита события, связанные с **новыми ключами развертывания или приложениями,** например`public_key.create`, . `integration_installation.create`\n* Проверьте журнал аудита на **предмет неожиданных изменений репозиториев**, таких как новые публичные репозитории или изменения видимости репозитория (от приватного к публичному), например`repo.create`, . `repo.access`\n* Используйте режим активности (уровень репозитория), чтобы **построить таймлайн последних пушей**. Ищите толчки от неожиданных участников, силовых толчков или необычных названий ветвей.\n\n### Ключевые инструменты\n\n| Инструмент | Purpose |\n| ---------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------ |\n| [Журналы аудита](/ru/code-security/reference/security-incident-response/investigation-tools#audit-logs) | Поиск и перекрёстная проверка действий, акторов и IP-адресов |\n| [Вид активности](/ru/code-security/reference/security-incident-response/investigation-tools#activity-view) | Обзор активности для конкретных репозиториев |\n\n### Ключевые ресурсы\n\n* [Действия по сдерживанию](/ru/code-security/tutorials/secure-your-organization/responding-to-security-incidents#step-2-contain-the-threat)\n\n## Утечка данных\n\nЭтот раздел может применяться, когда:\n\nВы обнаружили большие загрузки, необычную активность API или получали отчёты о внешнем появлении ваших данных.\n\n### Что проверить\n\n* Поиск журналов аудита по большим объёмам git-операций (`git.clone`, `git.fetch`) или API-запросов, особенно от незнакомого актора (`actor`) или IP-адреса (если включена видимость IP-адреса), которые указывают на массовый сбор данных.\n * Обратите внимание, что события Git в журнале аудита имеют особые требования к доступу и политики удержания, отличающиеся от других событий журнала аудита. Для , вы можете получить доступ к GitHub Enterprise Cloudсобытиям Git через REST API, и данные сохраняются семь дней, если только вы не стримите журнал аудита. Для GitHub Enterprise Server, события Git должны быть включены в конфигурации журнала аудита и не включаться в результаты поиска.\n * Аналогично, фиксация активности API в журналах аудита требует предварительной настройки и по умолчанию недоступна.\n* Проверяйте журналы аудита на предмет репликации репозиторий или событий экспозиции, например, изменений видимости репозитория (с приватного на публичное), неожиданного создания новых репозиториев (например, новых публичных репозиториев) или переименования или переноса репозиториев (`repo.create`, `repo.access` (изменения видимости), `repo.rename`, `repo.transfer`).\n* Проверьте исходящие механизмы, например, создание или обновление вебхуков (`hook.create` или аналогичные события в журналах аудита), и проверьте, указывает ли какой-либо вебхук на нераспознанный домен.\n\n### Ключевые инструменты\n\n| Инструмент | Purpose |\n| ------------------------------------------------------------------------------------------------------- | ------------------------------ |\n| [Журналы аудита](/ru/code-security/reference/security-incident-response/investigation-tools#audit-logs) | Поиск соответствующих действий |\n\n### Ключевые ресурсы\n\n* [Действия по сдерживанию](/ru/code-security/tutorials/secure-your-organization/responding-to-security-incidents#step-2-contain-the-threat)\n\n## Вредоносный код и изменения в рабочих процессах\n\nЭтот раздел может применяться, когда:\n\nВы нашли подозрительный код в своём репозитории, исследователь безопасности сообщил о проблеме или заметили неожиданное поведение рабочего процесса.\n\n### Что проверить\n\n* Проверьте **вкладку «Действия** » на предмет неожиданных запусков рабочих процессов, особенно тех, которые запускаются незнакомыми пользователями или в необычное время.\n* Проверяйте рабочий процесс, запускайте журналы на предмет подозрительных результатов.\n* Используйте GitHub поиск по коду, чтобы найти подозрительные файлы или добавления кода, особенно в рабочих процессах (`.github/workflows/`), shell-скриптах или конфигурационных файлах.\n* Используйте представление Activity, чтобы проверить наличие push-запросов к необычным названиям ветвей, принудительных push-push-ов, push-push от неожиданных акторов.\n* Проверьте журналы аудита на предмет изменений в настройках безопасности или действий отключения (ищите события вроде `repository_ruleset.destroy`, `repository_secret_scanning_push_protection.disable`, или другие `.delete`, , события`.disable`). `.destroy`\n* Проверьте журналы аудита для событий, связанных с добавлением новых самостоятельных бегунов (например, `org.register_self_hosted_runner`, `repo.register_self_hosted_runner` события).\n* Проверьте Dependabot alerts[GitHub Advisory Database](https://github.com/advisories) наличие рекомендаций, связанных с GitHub Actions использованием ваших рабочих процессов.\n\n### Ключевые инструменты\n\n| Инструмент | Purpose |\n| ------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------- |\n| [Запуски рабочих процессов и логи](/ru/code-security/reference/security-incident-response/investigation-tools#workflow-runs-and-logs) | Проверяйте выполнение рабочих процессов и проверяйте выходные данные журнала |\n| [Вид активности](/ru/code-security/reference/security-incident-response/investigation-tools#activity-view) | Выявляйте неожиданные толчки, силовые толчки или толчки от незнакомых участников |\n| \\[ | |\n| GitHub Поиск по коду]\\(/code-security/reference/security-incident-response/investigation-tools#github-code-search) | Поиск подозрительных кодовых шаблонов |\n| [Журналы аудита](/ru/code-security/reference/security-incident-response/investigation-tools#audit-logs) | Фильтруйте по действиям для поиска изменений настроек безопасности |\n\n### Ключевые ресурсы\n\n* [Действия по сдерживанию](/ru/code-security/tutorials/secure-your-organization/responding-to-security-incidents#step-2-contain-the-threat)\n\n> \\[!NOTE]\n> \\[!NOTE] IP-адреса раннера динамически назначаются из общей инфраструктуры и могут быть помечены из-за нерелевантной активности. Дополнительные сведения см. в разделе [Устранение неполадок рабочих процессов](/ru/actions/how-tos/troubleshoot-workflows#runner-ip-addresses-flagged-by-security-scanners).\n\n## Вредоносное ПО и атаки на цепочку поставок\n\nЭтот раздел может применяться, когда:\n\nВы получили предупреждение о вредоносном ПО или зависимостях, подозревали вредоносный пакет или заметили неожиданные зависимости в своих проектах.\n\n### Что проверить\n\n* Проверьте наличие Dependabot предупреждения о вредоносном ПО, которое поможет сообщить подробности о вредоносном пакете (например, название пакета, затронутые версии и патчированную версию), а также шаги по устранению проблемы. В настоящее время поддерживается только для пакетов в `npm` экосистеме.\n* Поищите там [GitHub Advisory Database](https://github.com/advisories) , чтобы узнать, есть GitHub ли отчётные сообщения о зависимости (или версиях зависимостей), которые используют ваши проекты. Для вредоносного ПО ищите `type:malware` в базе данных рекомендаций.\n* Используйте GitHub поиск по коду для поиска ссылок на предполагаемый пакет или действие по всей вашей организации.\n* Прочитайте граф зависимостей в ваших репозиториях, чтобы выявить новые или неожиданные зависимости.\n* Используйте просмотр активности и проверьте историю фиксации, чтобы просмотреть недавние изменения в манифестах зависимости или файлах блокировки (например, `package.json`, `package-lock.json`, `Gemfile.lock`). Проверьте просмотры виновных и pull requests, чтобы определить, кто внёс изменения и были ли они пересмотрены.\n* Проверьте недавно созданные оповещения безопасности в обзоре безопасности вашей организации.\n\n### Ключевые инструменты\n\n| Инструмент | Purpose |\n| -------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------- |\n| \\[ | |\n| GitHub Поиск по коду]\\(/code-security/reference/security-incident-response/investigation-tools#github-code-search) | Ищите ссылки на предполагаемую посылку или действие |\n| [Граф зависимостей](/ru/code-security/reference/security-incident-response/investigation-tools#dependency-graph) | Визуализация и просмотр зависимостей |\n| \\[ | |\n| Dependabot Оповещения]\\(/code-security/how-tos/manage-security-alerts/manage-dependabot-alerts/viewing-and-updating-dependabot-alerts) | Проверка на наличие оповещений, связанных с уязвимыми зависимостями |\n| [GitHub Advisory Database](https://github.com/advisories) | Найдите `type:malware`. |\n| [Вид активности](/ru/code-security/reference/security-incident-response/investigation-tools#activity-view) | Просмотр последних продвижения в репозитории |\n| [Общие сведения о безопасности](/ru/code-security/reference/security-incident-response/investigation-tools#security-overview) | Проверьте недавние оповещения о безопасности в организации или предприятии |\n\n### Ключевые ресурсы\n\n* [Действия по сдерживанию](/ru/code-security/tutorials/secure-your-organization/responding-to-security-incidents#step-2-contain-the-threat)\n\n## Дополнительные материалы\n\n* [Реагирование на инцидент с безопасностью](/ru/code-security/tutorials/secure-your-organization/responding-to-security-incidents)\n* [Просмотр журнала аудита для вашей организации](/ru/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/reviewing-the-audit-log-for-your-organization)\n* [Журнал аудита для предприятия](/ru/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/about-the-audit-log-for-your-enterprise)"}