首次使用个人访问令牌 (PAT) 的 GitHub 用户

编辑

首次使用个人访问令牌 (PAT) 的 GitHub 用户

编辑

在过去 14 天内，首次发现新的 PAT 被用于一个之前未见过的 GitHub 用户。

规则类型: new_terms

规则索引:

logs-github.audit-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

领域：云
用例：威胁检测
用例：UEBA
战术：持久性
规则类型：BBR
数据源：Github

版本: 204

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

event.dataset:"github.audit" and event.category:"configuration" and
github.hashed_token:* and user.name:* and
github.programmatic_access_type:("OAuth access token" or "Fine-grained personal access token")

框架: MITRE ATT&CK^TM

战术
- 名称：持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称：帐户操作
- ID: T1098
- 参考 URL: https://attack.mitre.org/techniques/T1098/
子技术
- 名称：额外的云凭据
- ID: T1098.001
- 参考 URL: https://attack.mitre.org/techniques/T1098/001/

« 首次通过代理启动的 Okta 用户会话首次使用特定 GitHub 个人访问令牌 (PAT) 的私有存储库事件 »