Sicherheitsereignisse überwachen

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 4 Minuten Lesedauer

    • Analysieren Sie die Ereignismetriken in Ihrer Instanz, damit Sie potenzielle Sicherheitsereignisse identifizieren und verhindern können.

    Wichtig:

    Das Instanz-Sicherheitszentrum (ISC) hat das Ende des Vertriebs im September 2024 erreicht und wird nicht mehr unterstützt oder steht für eine neue Aktivierung zur Verfügung.

    ServiceNow Das Sicherheitscenter (SSC) ist die empfohlene Lösung für die Zukunft. Weitere Informationen finden Sie unter Instanz-Sicherheitszentrum an ServiceNow Security Center Migration.
    Im Ereignisband, das sich auf der Instanzsicherheits-Homepage befindet, können Sie diese Metriken und die zugehörigen Details analysieren, um potenzielle Sicherheitsereignisse in der Instanz zu identifizieren.
    • Für jede Ereignismetrik wird eine Einzelpunktzahl in Echtzeit angezeigt, die angibt, wie oft das Ereignis während des Tages in dieser Instanz aufgetreten ist. Diese einzelnen Punktzahlberichte werden automatisch aktualisiert, wenn die entsprechenden Ereignisse stattfinden.
    • Jede Ereignismetrik enthält auch Compliance-Trend- und Diagramminformationen für einen Datumsbereich. Diese Informationen werden täglich aktualisiert, wenn Sie den Performance Analytics-Auftrag ausführen. Weitere Informationen finden Sie unter Ereignistrenddetails werden analysiert Abschnitt.

    Ereignistypen

    Sie können mindestens sechs der folgenden Ereignistypen überwachen. Verwenden Sie für mehr als sechs Ereignisse die Pfeiltasten nach links oder rechts unter dem Ereignisband, um durch sie zu scrollen. Informationen zum Konfigurieren des Ereignis-Menübands finden Sie unter Konfigurieren Sie das Menüband für Sicherheitsereignisse.

    Benachrichtigungseinstellung Beschreibung
    Administratoranmeldungen Anzahl der Anmeldeversuche in dieser Instanz während des Kalendertages durch Anwender, die über eine zugewiesene Administratorrolle verfügen.
    Administratoranwender hinzugefügt Anzahl der Anwender mit einer Administratorrolle, die während des Kalendertages in dieser Instanz hinzugefügt wurden. Beispielsweise kann Ihre Instanz ein Sicherheitsproblem haben, wenn die Anzahl 10 beträgt, aber 4 Anwendern ist bekannt, dass sie über eine Administratorrolle verfügen.
    Externe eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Externe Anmeldungen Anzahl der Anwender mit der zugewiesenen Rolle „snc_external“, die sich während des Kalendertages bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen normalerweise zu Wartungs-, Support-, Beratungs- oder Audit-Zwecken. Durch die Überwachung dieser Metrik können Sie überprüfen, ob die externen Anmeldeversuche legitim sind und keine potenziellen Sicherheitsprobleme darstellen.

    Weitere Informationen zum Zuweisen externer Anwenderrollen finden Sie unter Explizite Rollen.
    Fehlgeschlagene Anmeldungen Anzahl der Anmeldeversuche, die während des Kalendertages in dieser Instanz fehlgeschlagen sind.

    Diese Metrik kann darauf hinweisen, dass versucht wird, sich anzumelden und die Sicherheit Ihrer Instanz zu gefährden.
    Identitätswechsel Anzahl der Anmeldungen zum Identitätswechsel in dieser Instanz während des Kalendertages. Informationen zum Identitätswechsel von Anwendern finden Sie unter Identität eines Anwenders annehmen .
    Dateien in Quarantäne

    Anzahl der Dateien, die bei der Ausführung in Quarantäne gestellt wurden Antivirus-Scanning In dieser Instanz während des Kalendertages. Um mehr über Dateien in Quarantäne und zu erfahren Antivirus-Scanning, Siehe Virenschutzmetriken Und Antivirus-Scanning.
    Erhöhungen der Sicherheit Gibt an, wie oft ein Sicherheitsadministrator die Sicherheit für Standardanwender erhöht hat, indem seine zugewiesene Anwenderrolle während des Kalendertages in eine Sicherheitsrolle mit hohen Berechtigungen geändert wurde. Diese Sicherheitsrollen mit hohen Berechtigungen umfassen oauth_admin, admin, Security_admin und Identitätswechsel.
    • Diese Metrik gibt an, dass jemand versucht hat, die Sicherheit eines nicht autorisierten Anwenders zu erhöhen. Verwenden Sie diese Metrik nicht allein, um eine bestimmte Sicherheitsgefährdung zu erkennen. Behandeln Sie diese Metrik stattdessen als Hinweis darauf, dass Sie eine andere Metrik überprüfen sollten, um festzustellen, ob eine Sicherheitskompromittierung aufgetreten ist.
    • Weitere Informationen zur Erhöhung der Anwendersicherheit finden Sie unter Erhöhen Sie auf eine privilegierte Rolle Und Rollen mit erhöhten Rechten.
    SNC-Anmeldungen Anzahl von Kundenservice und Support Mitarbeiter, die sich während des Kalendertages mit der Hi-Hopping-Technik bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen normalerweise zu Wartungs-, Support-, Beratungs- oder Audit-Zwecken.

    Für Informationen zur Steuerung ServiceNow Zugriff auf Unternehmensmitarbeiter, siehe ServiceNow-Zugriffssteuerung .
    Spam Weitere Informationen finden Sie unter E-Mail-Metriken.
    Vertrauenswürdige eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Nicht vertrauenswürdige eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Virustypen Anzahl der verschiedenen Arten von Virenschutz-Ereignissen, die in dieser Instanz während des Kalendertages aufgetreten sind. Weitere Informationen zu Virenschutz-Ereignistypen finden Sie unter Virenschutzmetriken .

    Ereignistrenddetails werden analysiert

    Um Trenddetails für eine Ereignismetrik anzuzeigen, klicken Sie auf die Ereignisanzahl, um auf die Seite „Analytics Hub“ zuzugreifen. Die Details, die für die Instanz angezeigt werden, hängen vom Typ der Metrik ab.

    So zeigen Sie beispielsweise eine Liste der fehlgeschlagenen Versuche auf der Seite „Ereignisprotokolle“ des Sicherheitsdashboards an:
    • Wählen Sie aus Fehlgeschlagene Anmeldungen Metrik.
    • In KPI-Details Seite, klicken Sie auf Datensätze Anzeigen .
    • Klicken Sie auf einen der fehlgeschlagenen Anmeldeversuche.
    • Das Detail enthält den Namen des Anwenders, der versucht hat, sich anzumelden, seine IP-Adresse und den Tabellennamen, auf den er zugreifen wollte.

    Sie können Ereignisschwellenwertauslöser in einrichten Core-UI Analytics Hub Oder Platform Analytics KPI-Details Dient zum Bereitstellen von Warnungen, wenn ein bestimmtes Ereignis innerhalb eines Bereichs von Punktzahlen für auftritt Indikator. Sie können auch Ziele festlegen, mit denen Sie die Differenz zwischen der gewünschten Punktzahl und der tatsächlichen Punktzahl eines Ereignisses visualisieren können.

    Sie können beispielsweise einen Schwellenwert von festlegen 10 Für Fehlgeschlagene Anmeldungen Metrik. Wenn während des Tages mindestens zehn fehlgeschlagene Anmeldeversuche auftreten, wird eine Warnung an bestimmte Sicherheitspersonal gesendet. Sie können auch ein ähnliches Ziel festlegen, das eine visuelle Hervorhebung in bietet KPI-Details Wenn 10 fehlgeschlagene Anmeldungen an einem Tag auftreten.

    Trenddaten und -Diagramme, die in der Menübandkachel „Ereignis“ und angezeigt werden KPI-Details Werden aktualisiert, nachdem der Performance Analytics-Auftrag um 02:00 Uhr Ortszeit ausgeführt wurde. Weitere Informationen finden Sie unter Wie die täglichen Compliance-Punktzahlen, Trends und Diagrammdaten aktualisiert werden.