Sicherheitsereignisse überwachen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Analysieren Sie die Ereignismetriken in Ihrer Instanz, um potenzielle Sicherheitsereignisse zu erkennen und zu verhindern.

    Wichtig:

    Das Instanz-Sicherheitszentrum (ISC) hat seit September 2024 das Ende des Verkaufs erreicht und wird nicht mehr unterstützt und ist nicht mehr für eine erneute Aktivierung verfügbar.

    ServiceNow Security Center (SSC) ist die empfohlene Lösung für die Zukunft. Weitere Informationen finden Sie unter Migration des Instanz-Sicherheitszentrums zu ServiceNow Security Center ..
    Im Ereignis-Menüband auf der Homepage für Instanzsicherheit können Sie diese Metriken und die zugehörigen Details analysieren, um potenzielle Sicherheitsereignisse in der Instanz zu identifizieren.
    • Für jede Ereignismetrik wird in Echtzeit eine einzelne Punktzahl angezeigt, die angibt, wie oft das Ereignis im Laufe des Tages in dieser Instanz aufgetreten ist. Diese Einzel-Punktzahl-Berichte werden automatisch aktualisiert, wenn die entsprechenden Ereignisse stattfinden.
    • Jede Ereignismetrik enthält auch Compliance-Trends und Diagramminformationen für einen bestimmten Datumsbereich. Diese Informationen werden täglich aktualisiert, wenn Sie den Performance Analytics-Auftrag ausführen. Weitere Informationen finden Sie im Abschnitt Ereignis-Trenddetails analysieren.

    Ereignistypen

    Sie können mindestens sechs der folgenden Ereignistypen überwachen. Bei mehr als sechs Ereignissen verwenden Sie die Pfeiltasten nach links oder rechts unter dem Ereignismenüband, um durch sie zu scrollen. Informationen zum Konfigurieren des Ereignismenübands finden Sie unter Konfigurieren Sie das Sicherheitsereignis-Menüband.

    Benachrichtigungseinstellung Beschreibung
    Administratoranmeldungen Anzahl der Anmeldeversuche in dieser Instanz während des Kalendertags durch Anwender, denen eine Administratorrolle zugewiesen ist.
    Administratoranwender hinzugefügt Anzahl der Anwender mit einer Administratorrolle, die während des Kalendertags in dieser Instanz hinzugefügt wurden. Angenommen, Ihre Instanz weist möglicherweise ein Sicherheitsproblem auf, wenn die Anzahl 10 beträgt, aber bekanntermaßen 4 Anwender über eine zugewiesene Administratorrolle verfügen.
    Externe eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Externe Anmeldungen Anzahl der Anwender mit zugewiesener Rolle „snc_external“, die sich während des Kalendertags bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen normalerweise zu Wartungs-, Support-, Beratungs- oder Audit-Zwecken. Durch die Überwachung dieser Metrik können Sie überprüfen, ob die externen Anmeldeversuche legitim sind und keine potenziellen Sicherheitsprobleme darstellen.

    Weitere Informationen zum Zuweisen externer Anwenderrollen finden Sie unter Explizite Rollen.
    Fehlgeschlagene Anmeldungen Anzahl der Anmeldungen, die in dieser Instanz während des Kalendertags fehlgeschlagen sind.

    Diese Metrik kann darauf hinweisen, dass versucht wird, sich anzumelden und die Sicherheit Ihrer Instanz zu gefährden.
    Identitätswechsel Anzahl der Anmeldungen mit Identitätswechsel in dieser Instanz während des Kalendertags. Weitere Informationen dazu, wie Sie die Identität eines Benutzers annehmen, finden Sie unter Identität eines Benutzers annehmen.
    Dateien in Quarantäne

    Anzahl der Dateien, die unter Quarantäne gestellt wurden, als Sie Antivirus-Scanning in dieser Instanz während des Kalendertags ausgeführt haben. Weitere Informationen zu Dateien in Quarantäne und Antivirus-Scanningfinden Sie unter Antivirus-Metriken und Antivirus-Scanning.
    Erhöhungen der Sicherheit Anzahl der Fälle, in denen ein Sicherheitsadministrator die Sicherheit für Standardbenutzer erhöht hat, indem er die zugewiesene Benutzerrolle während des Kalendertags zu einer Sicherheitsrolle mit hohen Berechtigungen geändert hat. Zu diesen Sicherheitsrollen mit hohen Berechtigungen gehören „oauth_admin“, „admin“, „security_admin“ und „impersonator“.
    • Diese Metrik gibt an, dass jemand möglicherweise versucht hat, die Sicherheit eines nicht autorisierten Anwenders zu erhöhen. Verwenden Sie diese Metrik nicht allein, um eine bestimmte Sicherheitskompromittierung zu erkennen. Behandeln Sie diese Metrik stattdessen als Hinweis, dass Sie eine andere Metrik überprüfen sollten, um zu sehen, ob eine Sicherheitskompromittierung aufgetreten ist.
    • Weitere Informationen zum Erhöhen der Benutzersicherheit finden Sie unter Auf eine privilegierte Rolle hochstufen und Rollen mit erhöhten Rechten.
    SNC-Anmeldungen Anzahl von Kundenservice und Support Mitarbeitern, die sich an diesem Kalendertag mithilfe der Hi-Hopping-Technik bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen normalerweise zu Wartungs-, Support-, Beratungs- oder Audit-Zwecken.

    Informationen zur Steuerung des Zugriffs von ServiceNow Unternehmensmitarbeitern finden Sie unter ServiceNow-Zugriffssteuerung.
    Spam Weitere Informationen finden Sie unter E-Mail-Metriken.
    Vertrauenswürdige eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Nicht vertrauenswürdige eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Virustypen Anzahl der verschiedenen Typen von Antivirus-Ereignissen, die in dieser Instanz während des Kalendertags aufgetreten sind. Weitere Informationen zu Antivirus-Ereignistypen finden Sie unter Antivirus-Metriken.

    Ereignis-Trenddetails werden analysiert

    Klicken Sie zum Anzeigen von Trenddetails für eine Ereignismetrik auf die Ereignisanzahl, um auf die Seite „Analytics Hub“ zuzugreifen. Die Details, die für die Instanz angezeigt werden, hängen vom Typ der Metrik ab.

    So zeigen Sie beispielsweise auf der Seite mit den Ereignisprotokollen des Sicherheits-Dashboards eine Liste aller Fehlversuche an:
    • Wählen Sie die Metrik Fehlgeschlagene Anmeldungen aus.
    • Klicken Sie auf der Seite Analytics Hub auf Datensätzeanzeigen .
    • Klicken Sie auf einen der fehlgeschlagenen Anmeldungsversuche.
    • Die Details umfassen den Namen des Benutzers, der versucht hat, sich anzumelden, seine IP-Adresse und den Namen der Tabelle, auf die er zugreifen möchte.

    Sie können in Analytics Hub Ereignisschwellenwertauslöser einrichten, um Warnungen bereitzustellen, wenn ein bestimmtes Ereignis innerhalb eines bestimmten Punktzahlbereichs für einen Indikator auftritt. Sie können auch Ziele festlegen, um den Unterschied zwischen der gewünschten Punktzahl und der tatsächlichen Punktzahl eines Ereignisse darzustellen.

    Sie können beispielsweise einen Schwellenwert von 10 für die Metrik „ Fehlgeschlagene Anmeldungen “ festlegen. Wenn an einem Tag zehn oder mehr fehlgeschlagene Anmeldeversuche auftreten, wird eine Warnung an bestimmte Sicherheitsmitarbeiter gesendet. Sie können auch ein ähnliches Ziel festlegen, das eine visuelle Hervorhebung in Analytics Hub bietet, wenn an einem Tag 10 fehlgeschlagene Anmeldungen auftreten.

    Die Trenddaten und -diagramme, die in der Kachel des Menübands „Ereignis“ und in Analytics Hub angezeigt werden, werden aktualisiert, nachdem der Performance Analytics-Auftrag um 02:00 Uhr (Ortszeit) ausgeführt wurde. Weitere Informationen finden Sie unter Wie tägliche Compliance-Punktzahlen, Trends und Diagrammdaten aktualisiert werden.