Identifizieren von Überwachungsprotokollereignissen, die von einem Zugriffstoken ausgeführt werden

Sie können die Aktionen identifizieren, die von einem bestimmten Token in Ihrem Unternehmen ausgeführt werden.

In diesem Artikel

Informationen zu Tokendaten im Überwachungsprotokoll für ein Unternehmen

Das Überwachungsprotokoll Ihres Unternehmens enthält ein Ereignis für jede Aktion, die ein Benutzer oder eine Integration ausführt. Wenn die Aktion außerhalb der Web-UI von GitHub stattgefunden hat, zeigen die Daten des Ereignisses Details darüber, wie sich der Benutzer oder die Integration authentifiziert hat.

Wenn Sie erfahren, dass ein Token kompromittiert wurde, können Sie die vom kompromittierten Token durchgeführten Aktionen nachvollziehen, indem Sie das Audit-Protokoll nach allen mit diesem Token verbundenen Ereignissen durchsuchen.

Token-Daten erscheinen im Audit-Protokoll für die folgenden Authentifizierungsmethoden.

  • Personal access token
  • OAuth-Token
  • GitHub Apps (Authentifizierung als App-Installation oder im Auftrag eines Benutzers)

Tokendaten in Überwachungsprotokollereignissen

Die folgenden Daten über die Verwendung von Token werden im Audit-Protokoll angezeigt, damit Sie nachvollziehen können, wie sich der Benutzer oder die Integration authentifiziert hat.

InformationBeschreibung
hashed_tokenSHA-256-Hash des für die Authentifizierung verwendeten Tokens.
programmatic_access_typeArt der verwendeten Authentifizierung.
token_scopesFalls zutreffend, die Geltungsbereiche für das Token.

Bezeichnen von Ereignissen, die einem Token zugeordnet sind

Um Ereignisse zu identifizieren, die mit einem bestimmten Token verbunden sind, können Sie die Benutzeroberfläche oder die REST-API verwenden. Um Ereignisse zu identifizieren, müssen Sie zunächst den SHA-256-Hash des Tokens kennen.

Erzeugen eines SHA-256-Hashwerts für ein Token

Suchen auf GitHub

Schließe beim Durchsuchen des Überwachungsprotokolls auf GitHub hashed_token:"VALUE" in deine Suchabfrage ein, und ersetze VALUE durch den SHA-256-Hash des Tokens.

Hinweis

Setze den Hashtokenwert unbedingt in Anführungszeichen.

Suchen mit der REST-API

Damit du mithilfe der REST-API nach einem Token suchen kannst, musst du nach dem Generieren eines SHA-256-Hashs den Hash ebenfalls mit dem URI als Escapezeichen versehen. Die meisten gängigen Programmiersprachen bieten ein Hilfsprogramm für die Verwendung des URI als Escapezeichen. Beispielsweise wird mit encodeURIComponent() eine Zeichenfolge für JavaScript codiert.

Füge dann hashed_token:"VALUE" in deinen Suchbegriff ein, und ersetze VALUE durch den Hash, den du mit dem URI als Escapezeichen versehen hast.

Wenn der Name des Unternehmenskontos beispielsweise octo-corp lautet, durchsucht der folgende cURL-Befehl das Überwachungsprotokoll von @octo-corp nach allen Ereignissen, die dem Token zugeordnet sind, dessen URI-codierter SHA-256-Hash EH4L8o6PfCqipALbL%2BQT62lyqUtnI7ql0SPbkaQnjv8 lautet.

curl --header "Accept: application/vnd.github+json" --header "Authorization: Bearer YOUR-TOKEN" --header "X-GitHub-Api-Version:2022-11-28" 'https://api.github.com/enterprises/octo-corp/audit-log?phrase=hashed_token:"EH4L8o6PfCqipALbL%2BQT62lyqUtnI7ql0SPbkaQnjv8"'

Weiterführende Lektüre

  •           [AUTOTITLE](/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/using-the-audit-log-api-for-your-enterprise)