Sicherheitsereignisse überwachen
Analysieren Sie die Ereignismetriken in Ihrer Instanz, um potenzielle Sicherheitsereignisse zu identifizieren und zu verhindern.
Das Instanzsicherheitszentrum (ISC) hat das Ende des Verkaufs im September 2024 erreicht und wird nicht mehr unterstützt oder steht für eine neue Aktivierung zur Verfügung.
ServiceNow Security Center (SSC) ist die empfohlene Lösung für die Zukunft. Weitere Informationen finden Sie unter Instanz-Sicherheitszentrum an ServiceNow Security Center Migration.- Für jede Ereignismetrik wird eine Einzelpunktzahl in Echtzeit angezeigt, die angibt, wie oft das Ereignis während des Tages in dieser Instanz aufgetreten ist. Diese Berichte mit einer einzelnen Punktzahl werden automatisch aktualisiert, wenn die entsprechenden Ereignisse stattfinden.
- Jede Ereignismetrik enthält auch Compliance-Trend- und Diagramminformationen für einen Datumsbereich. Diese Informationen werden täglich aktualisiert, wenn Sie den Performance Analytics-Auftrag ausführen. Weitere Informationen finden Sie unter Ereignistrenddetails werden analysiert Abschnitt.
Ereignistypen
Sie können mindestens sechs der folgenden Ereignistypen überwachen. Verwenden Sie für mehr als sechs Ereignisse die Pfeiltasten nach links oder rechts unter dem Ereignisband, um durch sie zu scrollen. Informationen zum Konfigurieren des Ereignis-Menübands finden Sie unter Konfigurieren Sie das Sicherheitsereignis-Menüband.
| Benachrichtigungseinstellung | Beschreibung |
|---|---|
| Administratoranmeldungen | Anzahl der Anmeldeversuche in dieser Instanz während des Kalendertages durch Anwender, die über eine zugewiesene Administratorrolle verfügen. |
| Administratoranwender hinzugefügt | Anzahl der Anwender mit einer Administratorrolle, die in dieser Instanz während des Kalendertages hinzugefügt wurden. Beispielsweise kann Ihre Instanz ein Sicherheitsproblem haben, wenn die Anzahl 10 beträgt, aber 4 Anwendern ist bekannt, dass sie eine Administratorrolle zugewiesen haben. |
| Externe eingehende E-Mail | Weitere Informationen finden Sie unter E-Mail-Metriken. |
| Externe Anmeldungen | Anzahl der Anwender mit der zugewiesenen Rolle „snc_external“, die sich während des Kalendertages bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen normalerweise zu Wartungs-, Support-, Beratungs- oder Audit-Zwecken. Durch die Überwachung dieser Metrik können Sie überprüfen, ob die externen Anmeldeversuche legitim sind und keine potenziellen Sicherheitsprobleme darstellen. Weitere Informationen zum Zuweisen externer Anwenderrollen finden Sie unter Explizite Rollen. |
| Fehlgeschlagene Anmeldungen | Anzahl der versuchten Anmeldungen, die während des Kalendertages in dieser Instanz fehlgeschlagen sind. Diese Metrik kann darauf hinweisen, dass versucht wird, sich anzumelden und die Sicherheit Ihrer Instanz zu gefährden. |
| Identitätswechsel | Anzahl der Anmeldungen zur Identitätswechsel in dieser Instanz während des Kalendertages. Informationen zum Identitätswechsel von Anwendern finden Sie unter Identität eines Anwenders annehmen . |
| Dateien in Quarantäne | Anzahl der Dateien, die bei der Ausführung unter Quarantäne gestellt wurden Antivirus-Scanning In dieser Instanz während des Kalendertages. Um mehr über Dateien in Quarantäne und zu erfahren Antivirus-Scanning, Siehe Virenschutzmetriken Und Antivirus-Scanning. |
| Erhöhungen der Sicherheit | Anzahl der Male, mit denen ein Sicherheitsadministrator die Sicherheit für Standardanwender erhöht hat, indem seine zugewiesene Anwenderrolle während des Kalendertages in eine Sicherheitsrolle mit hohen Berechtigungen geändert wurde. Diese Sicherheitsrollen mit hohen Berechtigungen umfassen oauth_admin, admin, Security_admin und Impersonator.
|
| SNC-Anmeldungen | Anzahl von Kundenservice und Support Mitarbeiter, die sich am Kalendertag mit der Hi-Hopping-Technik bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen normalerweise zu Wartungs-, Support-, Beratungs- oder Audit-Zwecken. Für Informationen zur Steuerung ServiceNow Zugriff auf Mitarbeiter im Unternehmen, siehe ServiceNow-Zugriffssteuerung . |
| Spam | Weitere Informationen finden Sie unter E-Mail-Metriken. |
| Vertrauenswürdige eingehende E-Mail | Weitere Informationen finden Sie unter E-Mail-Metriken. |
| Nicht vertrauenswürdige eingehende E-Mail | Weitere Informationen finden Sie unter E-Mail-Metriken. |
| Virustypen | Anzahl der verschiedenen Arten von Antivirus-Ereignissen, die in dieser Instanz während des Kalendertages aufgetreten sind. Weitere Informationen zu Antivirus-Ereignistypen finden Sie unter Virenschutzmetriken . |
Ereignistrenddetails werden analysiert
Um Trenddetails für eine Ereignismetrik anzuzeigen, klicken Sie auf die Ereignisanzahl, um auf die Analytics Hub-Seite zuzugreifen. Die Details, die für die Instanz angezeigt werden, hängen vom Typ der Metrik ab.
- Wählen Sie aus Fehlgeschlagene Anmeldungen Metrik.
- In Analytics Hub Seite klicken Sie auf Datensätze Anzeigen .
- Klicken Sie auf einen der fehlgeschlagenen Anmeldeversuche.
- Das Detail enthält den Namen des Anwenders, der versucht hat, sich anzumelden, seine IP-Adresse und den Tabellennamen, auf den er zugreifen wollte.
Sie können Ereignisschwellenwertauslöser in einrichten Core-UI Analytics Hub Oder Platform Analytics KPI-Details Dient zum Bereitstellen von Warnungen, wenn ein bestimmtes Ereignis innerhalb eines Bereichs von Punktzahlen für auftritt Indikator. Sie können auch Ziele festlegen, mit denen Sie die Differenz zwischen der gewünschten Punktzahl und der tatsächlichen Punktzahl eines Ereignisses visualisieren können.
Sie können beispielsweise einen Schwellenwert von festlegen 10 Für Fehlgeschlagene Anmeldungen Metrik. Wenn während des Tages zehn oder mehr fehlgeschlagene Anmeldeversuche auftreten, wird eine Warnung an bestimmte Sicherheitspersonal gesendet. Sie können auch ein ähnliches Ziel festlegen, das eine visuelle Hervorhebung in bietet Analytics Hub Wenn 10 fehlgeschlagene Anmeldungen an einem Tag auftreten.