本シリーズでは、ランタイム脅威検知のデファクトスタンダードであるFalcoの検知Ruleを、1つの記事で1つ簡単に紹介していきます。
ランタイムセキュリティやFalco自体の概要を知りたい方はこちらのブログ記事をご参照ください。
今回ご紹介する検知Ruleは「Private Repository Becoming Public」です。
Rule記述
- rule: Private Repository Becoming Public
desc: Detect changing the visibility of a repository to public
condition: github.type=repository and github.action=publicized
output: A repository went from private to public (repository=%github.repo repo_owner=%github.owner org=%github.org user=%github.user)
priority: CRITICAL
source: github
Rule概要
GitHub Plugin for Falcoをインストールすることで使用可能になるルールです。
本ルールは、プライベートリポジトリが「パブリック」に変更されたことを検知します。
会社のコードが入った公開リポジトリを持つことは、ドアのない家を持つようなものです。
そのため、リポジトリの可視性を「パブリック」に変更しようとする試みは、「クリティカル」な優先順位で処理されるべきです。
Falcoを使ったGitHubのセキュリティ確保については、「Falco GitHubプラグインでDropboxの情報漏洩に対応する」のブログ記事もご参照ください。
Condition(条件)
github.type=repository and
GitHubのメッセージタイプが repository で、
github.action=publicized
GitHubのアクションが publicized (公開された)の場合
Output(出力)
リポジトリがプライベートからパブリックに変更されました
%github.repo
リポジトリ名
%github.owner
リポジトリのオーナー名
%github.org
リポジトリが所属する組織名
%github.user
イベントをトリガーしたユーザー名