Aller au contenu principal

Comprendre les événements de honeytokens et leur mécanisme de déclenchement

Un événement, dans le contexte des honeytokens, représente l'utilisation enregistrée d'un honeytoken. Lorsqu'un honeytoken est en statut Active, tout nouvel événement fait immédiatement passer son statut à Triggered, ce qui déclenche les alertes correspondantes.

Exception

Le mécanisme de déclenchement diffère pour les événements autorisés. Voir la section dédiée pour plus de détails.

Données d'événement

Les événements sont visibles sur la page détail du honeytoken. Pour les honeytokens AWS, vous pouvez observer les informations suivantes :

  • Timestamp : le moment exact d'utilisation du honeytoken
  • IP address and country : l'information de localisation liée à l'utilisation du honeytoken
  • User-agent : l'identité du logiciel ayant accédé (peut être vide).
  • Action : l'action spécifique effectuée comme GetCallerIdentity, ListBuckets, etc.

Tags d'événements

Les tags d'événements fournissent un contexte supplémentaire basé sur l'adresse IP de l'événement.

Vous pouvez créer des tags personnalisés via les paramètres IP rules. De plus, GitGuardian gère certains tags par défaut :

  • GitGuardian Public Monitoring IP : indique que l'événement provient d'une adresse IP utilisée par GitGuardian pour surveiller GitHub public. Cela signifie que le honeytoken lui-même a été divulgué et est exposé publiquement sur GitHub.
  • AWS internal IP : signifie que l'événement provient de l'intérieur d'AWS, ce qui se produit fréquemment lorsqu'un honeytoken est exposé publiquement sur GitHub. À noter que pour ce cas particulier, aucune adresse IP réelle n'est attachée à l'événement.

Open vs. archived vs. allowed events

Les événements peuvent être catégorisés en trois états :

  • Open : l'état par défaut des événements.
  • Archived : déclenché par la réinitialisation ou la révocation d'un honeytoken, ce qui archive tous les événements ouverts.
  • Allowed : événements provenant d'IPs présentes sur l'allow-list, ignorés par le mécanisme de déclenchement.

Les événements archivés et autorisés restent présents, mais sont masqués par défaut. Vous pouvez utiliser le filtre de statut dans la section Events pour les afficher.

Events-with-archived-allowed

Les événements archivés et autorisés sont conservés mais masqués par défaut. Utilisez le filtre de statut dans la section Events pour les voir. Ils s'affichent en gris, les événements autorisés étant marqués d'une coche verte à côté de l'adresse IP.

Mise en pause de la réception d'événements

Lorsqu'un honeytoken accumule 100 événements ouverts, la réception de nouveaux événements est mise en pause. Nous appliquons cette pause à ce seuil car les événements supplémentaires au-delà n'apportent généralement pas d'information nouvelle et pourraient impacter négativement les performances.

Cette situation se produit typiquement dans les scénarios suivants :

  • Le honeytoken devient exposé publiquement sur GitHub, ce qui pousse les scanners à le détecter et le tester. Dans ce cas, le honeytoken doit être considéré comme compromis et révoqué.
  • Certains outils internes connus appellent régulièrement le honeytoken pour des raisons légitimes. Dans ce cas, vous pouvez autoriser ces appels puis réinitialiser le honeytoken.

Notez que la réception d'événements reprendra si le honeytoken est réinitialisé, car cette action remet à zéro le compteur d'événements ouverts.

Utiliser les règles d'IP pour enrichir et gérer les événements

Les règles d'IP aident à déclarer des plages d'IP connues pour mieux identifier et gérer les événements, et servent à deux choses : le tagging d'IP et l'allow-listing d'IP.

Tagging d'IP

Cette fonctionnalité permet d'attacher des tags personnalisés aux événements en fonction des adresses IP, utile pour identifier les événements provenant de sources connues comme le réseau interne de votre entreprise.

Allow-listing d'IP

Chaque tag et sa plage d'IP associée peuvent être ajoutés à une allowlist. Les événements provenant de ces IPs sont ignorés et ne déclenchent pas le honeytoken.

attention

Manipulez cette fonctionnalité avec prudence, car elle pourrait conduire à passer à côté de tentatives non autorisées sur vos honeytokens.

Les événements provenant d'IPs autorisées sont enregistrés mais grisés et exclus par défaut. Vous pouvez choisir de les afficher via le filtre « status ».

Configuration des règles d'IP

Pour gérer les règles d'IP personnalisées, allez dans Settings > Honeytoken > IP rules.

GitGuardian définit certaines règles non modifiables ; vous pouvez créer et gérer les vôtres en utilisant des CIDRs valides pour vos plages d'IP.

IP-rules Modify-IP-rule

Pas d'application rétroactive de la règle d'IP sur les événements existants

L'ajout, la modification ou la suppression de règles d'IP n'affectent pas les événements existants. Seuls les événements futurs seront concernés.

Comportement en cas de plusieurs règles pour la même plage d'IP

Plusieurs règles pour une même plage d'IP sont autorisées. Les événements correspondant à ces règles reçoivent tous les tags associés. Si une règle est en « allow-list », ces événements seront considérés « allowed », sauf pour les événements provenant des IPs de GitGuardian Public Monitoring, qui ne peuvent pas être surchargés.

Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API