新 GitHub 应用安装

此规则检测您的组织帐户中何时安装了新的 GitHub 应用。 GitHub 应用扩展了 GitHub 在 GitHub 内外的功能。安装应用时，它会被授予读取或修改您的存储库和组织数据的权限。只应安装受信任的应用，并且应调查任何新安装的应用以验证其合法性。未经授权的应用安装可能会降低您组织的安全态势，并使您面临未来攻击的风险。

规则类型: eql

规则索引:

logs-github.audit-*

严重性: 中

风险评分: 47

运行频率: 5m

搜索索引起始时间: now-9m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域: 云
用例: 威胁检测
战术: 执行
数据源: Github

版本: 204

规则作者:

Elastic

规则许可: Elastic License v2

规则查询

编辑

configuration where event.dataset == "github.audit" and event.action == "integration_installation.create"

框架: MITRE ATT&CK^TM

战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 软件部署工具
- ID: T1072
- 参考 URL: https://attack.mitre.org/techniques/T1072/

« 通过 PowerShell 添加新的 ActiveSyncAllowedDeviceID 添加新的 GitHub 所有者 »