Aller au contenu principal

Découvrir vos NHIs

Inventaire NHI

L'inventaire fournit un tableau centralisé et consultable listant toutes les Non-Human Identities découvertes dans votre périmètre. Cette vue dynamique vous aide à surveiller, auditer et trier efficacement les NHIs entre différents environnements et sources.

Vue d'ensemble du tableau d'inventaire

Chaque ligne de l'inventaire représente une NHI unique et affiche les attributs clés suivants :

  • Secret name – L'identifiant du secret associé.
  • Source – L'intégration où la NHI a été découverte (par exemple le nom du gestionnaire de secrets ou du cluster Kubernetes).
  • Path – Le chemin ou l'emplacement exact du secret au sein de la source.
  • Environment – Le tag d'environnement associé (par exemple prod, staging, dev). Apprenez à catégoriser les environnements
  • Breached policies – Toute mauvaise configuration détectée ou violation des bonnes pratiques de sécurité. En savoir plus sur les policies non respectées
  • Owners – La ou les personnes responsables de la NHI. Voir NHI Ownership ci-dessous.

NHI Inventory

L'inventaire prend en charge le filtrage par :

  • Catégorie
  • Policy non respectée
  • Environnement
  • Source
  • Owner : par owner spécifique, No owner, ou Current user

Cliquer sur une NHI ouvre une vue détaillée incluant les violations de policies, la version du secret et une carte visuelle des relations et du contexte de la NHI.

À noter : si une version est supprimée, les métadonnées sont conservées mais le graphe est vide et marqué comme supprimé, tandis que les secrets entièrement détruits disparaissent de l'inventaire.

NHI Ownership

L'ownership attribue la responsabilité de chaque NHI à une ou plusieurs personnes de votre organisation : vous pouvez voir qui est responsable d'une identité, filtrer l'inventaire par owner, et ajouter ou modifier les owners manuellement.

Owners suggérés vs manuels

  • Owners suggérés – GitGuardian peut suggérer automatiquement des owners en s'appuyant sur les données de vos sources intégrées et sur les incidents de secrets. Les owners suggérés sont libellés Set automatically by GitGuardian dans la vue détail de la NHI. Vous pouvez les conserver, les supprimer ou ajouter d'autres owners.
  • Owners manuels – Tout owner que vous ajoutez ou confirmez vous-même est libellé Set manually. Les attributions manuelles ne sont jamais écrasées par les suggestions automatiques.

Comment les owners sont suggérés

Les suggestions s'appuient sur plusieurs signaux, par ordre de confiance (du plus fort au plus faible) :

  1. Champ owner direct – La source de la NHI expose un champ owner explicite pour l'identité (par ex. champ owner IAM ou IdP).
  2. Tags de métadonnées – Un tag sur la ressource contient un owner (par ex. un tag AWS IAM ou Azure avec un e-mail).
  3. Owner au niveau source – L'intégration a un owner déclaré (par ex. l'utilisateur qui a configuré l'intégration).
  4. Dernier éditeur ou créateur – La personne qui a modifié ou créé la ressource en dernier, lorsque la source l'expose.
  5. Auteur du commit lié à un incident – Un développeur qui a commité un secret ayant donné lieu à un incident lié à cette NHI (privé ou public).
  6. Scan de secrets publics – L'utilisateur dont le scan a détecté le secret associé à cette NHI.

Lorsque plusieurs candidats existent, le système ne conserve que ceux ayant le plus haut niveau de confiance. Vous pouvez avoir jusqu'à 5 owners par NHI.

Qui peut être owner

  • Un membre de l'espace de travail (lié à son utilisateur GitGuardian).
  • Un utilisateur externe identifié par e-mail (par ex. un prestataire ou une personne d'une autre équipe). Aucun compte GitGuardian n'est requis.

Gérer les owners

  • Dans l'inventaire, la colonne Owner affiche jusqu'à deux owners par NHI ; utilisez le filtre Owner pour restreindre la liste (par ex. No owner, Current user, ou une personne spécifique).
  • Dans la vue détail d'une NHI, utilisez la section Owners pour ajouter, supprimer ou remplacer les owners. Vous pouvez saisir un membre de l'espace de travail ou tout e-mail valide pour ajouter un owner externe. Supprimer un owner suggéré écarte cette suggestion afin qu'elle ne soit pas réappliquée automatiquement.

API

L'ownership peut être géré via l'API publique à l'aide des scopes nhi:ownership:read et nhi:ownership:write. Les endpoints permettent de lister les owners d'une identité, d'en ajouter, d'en supprimer un, ou de remplacer la liste complète des owners.

Carte d'exploration

La carte d'exploration vous offre une vue visuelle et de bout en bout d'une NHI, qui aide à comprendre ses connexions, son usage et son impact potentiel dans votre environnement.

La carte est composée de :

  • Secrets managers – Là où les secrets de la NHI sont stockés en sécurité.
  • Consumers – Les entités (services, scripts, jobs) qui utilisent le secret pour s'authentifier et accéder à d'autres systèmes.
  • Accessed resources – Les cibles accédées par les consumers, avec leurs permissions, sur la base des Secret Analyzers.
  • Incidents – Les incidents de secrets publics et privés associés à la NHI.

Exploration Map

Vous pouvez accéder à la carte depuis la vue détail d'une NHI ou directement depuis un incident de secret, ce qui permet une navigation rapide et contextuelle entre détection et analyse.

Cas d'usage

Bien que l'objectif principal soit de visualiser et contextualiser les NHIs, la carte aide aussi à :

  • Faciliter la remédiation – Évaluer rapidement l'impact de la révocation d'un secret et identifier tous les systèmes affectés.
  • Investiguer les fuites – Tracer quels consumers et ressources ont pu être compromis.
  • Améliorer l'hygiène des secrets – Repérer les secrets obsolètes ou surdimensionnés en privilèges, les consumers inutilisés et autres problèmes d'hygiène dans votre périmètre.
Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API