{"meta":{"title":"准备应对安全事件","intro":"确保已设置工具和流程，以有效响应安全事件。","product":"安全性和代码质量","breadcrumbs":[{"href":"/zh/code-security","title":"安全性和代码质量"},{"href":"/zh/code-security/tutorials","title":"Tutorials"},{"href":"/zh/code-security/tutorials/secure-your-organization","title":"保护你的组织"},{"href":"/zh/code-security/tutorials/secure-your-organization/prepare-for-a-security-incident","title":"为安全事件做好准备"}],"documentType":"article"},"body":"# 准备应对安全事件\n\n确保已设置工具和流程，以有效响应安全事件。\n\n本文中的指南面向企业所有者、组织所有者、安全经理和安全团队。 但是，需要具有企业所有者角色才能启用本文中引用的多项功能。\n\n## 介绍\n\n发生安全事件时，能够调查所发生的事情、理解影响范围，并遏制威胁取决于是否已有合适的工具和流程到位。 本文汇集了在发生事件 **之前** 应采取的关键操作，以便团队能够快速有效地做出响应。\n\n## 提前设置关键工具\n\n设置 GitHub 企业时，默认情况下，以下调查工具不可用。 强烈建议在发生任何事件之前启用这些功能。\n\n这些控制对于事件响应、合规性和操作透明度至关重要。 如果没有这些数据，团队在调查期间可能会有重大的可见性差距，尤其是在 API 活动、Git 活动和需要利用历史数据分析的长期事件中。\n\n### 审核日志流式处理\n\n应将企业审核日志流式传输到安全信息和事件管理 （SIEM） 系统。 这会在系统中保留审核日志数据（包括审核事件和 Git 事件）的副本，可以在系统中跨大量数据运行复杂的查询，并保留超出默认保留期的数据。\n\n这在事件中至关重要，因为审核日志 Web UI 中 GitHub 不显示某些高价值事件，并且日志仅在有限的时间内可用，除非导出并保留在外部。\n\n使用流式传输日志，企业和组织所有者可以独立调查用户、应用、令牌和 SSH 密钥的活动，而不是在活动响应期间依赖于临时数据收集。\n\n若要设置审核日志流式处理，请参阅 [流式处理企业审核日志](/zh/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/streaming-the-audit-log-for-your-enterprise)。\n\n### Stream API 请求事件\n\n默认情况下，审核日志流不包括 API 请求事件。 启用 API 请求流式处理，以便可以检测和调查由于令牌或应用程序被泄露导致的未经授权的 API 访问或数据泄露。\n\n请参阅 [启用 API 请求的审核日志流式处理](/zh/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/streaming-the-audit-log-for-your-enterprise#enabling-audit-log-streaming-of-api-requests)。\n\n### 显示 IP 地址\n\n默认情况下， GitHub 不会在企业审核日志中显示源 IP 地址。 在调查期间，源 IP 可帮助你验证来自参与者（用户或应用）的活动是否来自受信任的或不熟悉的地址。\n\n在GitHub Enterprise Cloud的企业可以启用 IP 地址披露功能，请参阅[在企业审核日志中显示 IP 地址](/zh/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/displaying-ip-addresses-in-the-audit-log-for-your-enterprise)。\n\n### 保留标识提供者日志\n\n如果企业使用 SAML 或 OIDC 身份验证，请对 IdP 日志采用类似的保留策略。\n\n保留的 IdP 日志有助于调查身份验证活动，并在更长的时间窗口中查看预配和取消预配事件，包括持续数月的事件。\n\n## 熟悉工具、限制和常见调查领域\n\n在事件发生之前，请查看 GitHub 调查期间可以使用的工具和界面，并了解每个工具的功能和局限性。\n\n请熟悉：\n\n* GitHub 用于调查的工具和表面，包括其局限性。 请参阅“[安全事件调查工具](/zh/code-security/reference/security-incident-response/investigation-tools)”。\n* 在安全威胁（如[标识由访问令牌执行的审核日志事件](/zh/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/identifying-audit-log-events-performed-by-an-access-token)）期间使用审核日志的关键步骤。\n* 常见的调查区域和可以对特定威胁信号执行的检查。 请参阅“[常见安全事件调查领域](/zh/code-security/reference/security-incident-response/investigation-areas)”。\n\n## 熟悉隔离策略\n\n在事件发生之前，请审查可能需要的紧急控制措施。 与安全和运营团队提前规划这些操作有助于快速响应，这意味着你可以在安全事件响应计划（SIRP）中包含明确的指导。\n\n请熟悉：\n\n* 常见的 GitHub约束措施，例如撤销凭据、启用允许 IP 列表、暂停用户和其他访问禁用操作。 请参阅 [“包含威胁](/zh/code-security/tutorials/secure-your-organization/responding-to-security-incidents#step-2-contain-the-threat)”。\n* 可以编程方式访问 GitHub的每种凭据类型的吊销选项。 请参阅“[GitHub 凭据类型参考](/zh/organizations/managing-programmatic-access-to-your-organization/github-credential-types)”。\n* 对于企业 GitHub Enterprise Cloud：重大事件中企业所有者可用的批量紧急操作，例如锁定 SSO 并删除所有用户令牌和密钥。 请参阅“[响应企业中的安全事件](/zh/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents)”。\n\n## 准备安全事件响应计划 （SIRP）\n\n为企业创建和维护最新的安全事件响应计划（SIRP）。\n\n计划应定义：\n\n* 角色和职责\n* 升级路径\n* 通信协议\n* 严重性分类条件\n* 常见威胁类型的分步响应过程\n\nCopilot 可帮助你根据团队的需求和资源起草和优化此计划。\n\n有关指南，请参阅 [什么是事件响应](https://github.com/resources/articles/what-is-incident-response#what-is-incident-response)。\n\n## 后续步骤\n\n* [响应安全事件](/zh/code-security/tutorials/secure-your-organization/responding-to-security-incidents)"}