Skip to main content

セキュリティ アラートの監査

GitHub には、セキュリティ アラートに対して実行されたアクションを監査および監視するために使用できるさまざまなツールが用意されています。

監査担当者向けセキュリティ ツールについて

GitHub には、セキュリティ監査担当者と開発者がエンタープライズまたは組織内のセキュリティ アラートに対する応答を確認および分析するためのツールが用意されています。 このガイドでは、履歴タイムライン、セキュリティの概要、監査ログ、API、Webhook などのツールについて説明します。

セキュリティ監査担当者は、これらのツールを使用して、セキュリティ アラートを解決し、追加のトレーニングの領域を特定するために適切なアクションが実行されていることを確認できます。 開発者は、これらのツールを使用して、独自のセキュリティ アラートを監視およびデバッグできます。 既にアクセス権を持っているリポジトリと組織のデータのみが表示されます。

セキュリティ アラートのタイムライン

各セキュリティ アラートには、アラートが作成された日時または問題が検出された日時を示す履歴タイムラインがあります。 アラートの状態が変化すると、変化の原因 (たとえば、Dependabot が固定アラートを終了する、開発者がアラートを再度開くなど) に関係なく、これがタイムラインに記録されます。 アラートの履歴タイムラインは、問題の説明の下にあるアラート ページで確認できます。

タイムラインのイベントの多くでは、監査ログにもイベントが作成され、監査ログ UI または API を使用してクエリを実行できます。 詳細については、「監査ログ」を参照してください。

[セキュリティの概要] ページ

セキュリティの概要には、セキュリティ アラートに関する情報が統合されていることに加え、Enterprise や Organization のセキュリティ状態がまとめて表示されています。

セキュリティの概要では、開いているセキュリティ アラートを含むリポジトリと、特定のセキュリティ機能を有効にしたリポジトリを確認できます。 また、セキュリティの概要を使い、対話型ビューを使ってセキュリティ アラートをフィルター処理したり並べ替えたりすることもできます。

詳しくは、「セキュリティの概要について」を参照してください。

監査ログ

API または監査ログ UI を使用して、監査ログにアクセスして検索できます。 監査ログには、エンタープライズまたは組織に影響を与える、アクティビティによってトリガーされるイベントの一覧が表示されます。これには、セキュリティ アラートとの一定の対話がある場合に作成されるイベントが含まれます。 イベントを作成する対話は、たとえば Dependabot がアラートを作成するときに、手動で、または自動化によってトリガーできます。

  • Secret scanning イベントは、アラートがいつ作成、解決、または再度開かれたか、またプッシュ保護がいつバイパスされたかを追跡します。
  • Dependabot イベントは、アラートがいつ作成、破棄、または解決されたかを追跡します。
  • Code scanning によって監査ログにタイムライン イベントが作成されることはありません。

監査ログ イベントの一覧については、「エンタープライズの監査ログ イベント」と「組織の監査ログ イベント」をご覧ください。

企業または組織の監査ログにアクセスする方法については、「企業の監査ログにアクセスする」および「Organization の Audit log をレビューする」を参照してください。

GitHub から外部データ管理システムに監査データをストリーミングすることもできます。これにより、内部グラフのデータを分析および収集できます。 エンタープライズ所有者は、監査ログのストリーミングを構成できます。 詳細については、「企業の監査ログのストリーミング」を参照してください。

Webhooks

code_scanning_alertdependabot_alertsecret_scanning_alert Webhook を設定して、組織またはリポジトリ内のセキュリティ アラートに対する応答がある場合は常にペイロードを受信できます。 アクションを実行する応答を定義することもできます。たとえば、だれかがアラート プロパティ "push_protection_bypassed": true を使用してプッシュ保護をバイパスしたときに作成された secret scanning アラートを追跡する Webhook を定義できます。

Webhook ペイロードを、セキュリティ動作の監視と通知に使用する他のツールに統合することもできます。 たとえば、シークレット アラートが作成、解決、取り消し、再オープンされたとき、またはシークレットの有効性ステータスが変更されたときに、Webhook が起動します。 。 その後、Webhook ペイロードを解析し、Slack、Microsoft Teams、Splunk、メールなど、チームが使用するツールと統合できます。 詳しい情報については、「Webhook について」および「Webhook イベントとペイロード」を参照してください。

API

API を使用すると、セキュリティ アラートを一覧表示して操作し、たとえば、アラートの更新や無視に関する最新の情報を取得できます。 API を使用してアラートを追加で更新したり、追加のアクションを必要とするアラートごとに新しいイシューを作成するなどのフォローアップ アクションを自動化したりすることもできます。 アラートの現在の状態のみが API によって報告されます。

Dependabot アラート API

リポジトリ、組織、またはエンタープライズのすべての Dependabot アラートを一覧表示することも、パス パラメーターを使用して特定の条件セットを満たすアラートのみを一覧表示することもできます。 たとえば、無視された Maven の Dependabot アラートのみを一覧表示できます。 または、アラートの完全な詳細を取得したり、アラートを更新したりできます。

詳細については、「Dependabot アラート」を参照してください。

Secret scanning アラート API

リポジトリ、組織、またはエンタープライズのすべての secret scanning アラートを一覧表示することも、パス パラメーターを使用して特定の条件セットを満たすアラートのみを一覧表示することもできます。 または、アラートの完全な詳細を取得したり、アラートを更新したりできます。

プッシュ保護バイパスの結果である secret scanning アラートを確認するには、"push_protection_bypassed": true の結果をフィルター処理します。

詳細については、「Secret scanning」を参照してください。

Code scanning アラート API

リポジトリ、組織、またはエンタープライズのすべての code scanning アラートを一覧表示することも、パス パラメーターを使用して特定の条件セットを満たすアラートのみを一覧表示することもできます。 または、アラートの完全な詳細を取得したり、アラートを更新したりできます。

詳しくは「Code scanning」をご覧ください。

参考資料