Sicherheitsereignisse überwachen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Analysieren Sie die Ereignismetriken in Ihrer Instanz, um potenzielle Sicherheitsereignisse zu identifizieren und zu verhindern.

    Wichtig:

    Das Instanzsicherheitszentrum (ISC) hat das Ende des Verkaufs im September 2024 erreicht und wird nicht mehr unterstützt oder steht für eine neue Aktivierung zur Verfügung.

    ServiceNow Security Center (SSC) ist die empfohlene Lösung für die Zukunft. Weitere Informationen finden Sie unter Instanz-Sicherheitszentrum an ServiceNow Security Center Migration.
    Im Ereignisband, das sich auf der Instanzsicherheits-Homepage befindet, können Sie diese Metriken und die zugehörigen Details analysieren, um potenzielle Sicherheitsereignisse in der Instanz zu identifizieren.
    • Für jede Ereignismetrik wird eine Einzelpunktzahl in Echtzeit angezeigt, die angibt, wie oft das Ereignis während des Tages in dieser Instanz aufgetreten ist. Diese Berichte mit einer einzelnen Punktzahl werden automatisch aktualisiert, wenn die entsprechenden Ereignisse stattfinden.
    • Jede Ereignismetrik enthält auch Compliance-Trend- und Diagramminformationen für einen Datumsbereich. Diese Informationen werden täglich aktualisiert, wenn Sie den Performance Analytics-Auftrag ausführen. Weitere Informationen finden Sie unter Ereignistrenddetails werden analysiert Abschnitt.

    Ereignistypen

    Sie können mindestens sechs der folgenden Ereignistypen überwachen. Verwenden Sie für mehr als sechs Ereignisse die Pfeiltasten nach links oder rechts unter dem Ereignisband, um durch sie zu scrollen. Informationen zum Konfigurieren des Ereignis-Menübands finden Sie unter Konfigurieren Sie das Sicherheitsereignis-Menüband.

    Benachrichtigungseinstellung Beschreibung
    Administratoranmeldungen Anzahl der Anmeldeversuche in dieser Instanz während des Kalendertages durch Anwender, die über eine zugewiesene Administratorrolle verfügen.
    Administratoranwender hinzugefügt Anzahl der Anwender mit einer Administratorrolle, die in dieser Instanz während des Kalendertages hinzugefügt wurden. Beispielsweise kann Ihre Instanz ein Sicherheitsproblem haben, wenn die Anzahl 10 beträgt, aber 4 Anwendern ist bekannt, dass sie eine Administratorrolle zugewiesen haben.
    Externe eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Externe Anmeldungen Anzahl der Anwender mit der zugewiesenen Rolle „snc_external“, die sich während des Kalendertages bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen normalerweise zu Wartungs-, Support-, Beratungs- oder Audit-Zwecken. Durch die Überwachung dieser Metrik können Sie überprüfen, ob die externen Anmeldeversuche legitim sind und keine potenziellen Sicherheitsprobleme darstellen.

    Weitere Informationen zum Zuweisen externer Anwenderrollen finden Sie unter Explizite Rollen.
    Fehlgeschlagene Anmeldungen Anzahl der versuchten Anmeldungen, die während des Kalendertages in dieser Instanz fehlgeschlagen sind.

    Diese Metrik kann darauf hinweisen, dass versucht wird, sich anzumelden und die Sicherheit Ihrer Instanz zu gefährden.
    Identitätswechsel Anzahl der Anmeldungen zur Identitätswechsel in dieser Instanz während des Kalendertages. Informationen zum Identitätswechsel von Anwendern finden Sie unter Identität eines Anwenders annehmen .
    Dateien in Quarantäne

    Anzahl der Dateien, die bei der Ausführung unter Quarantäne gestellt wurden Antivirus-Scanning In dieser Instanz während des Kalendertages. Um mehr über Dateien in Quarantäne und zu erfahren Antivirus-Scanning, Siehe Virenschutzmetriken Und Antivirus-Scanning.
    Erhöhungen der Sicherheit Anzahl der Male, mit denen ein Sicherheitsadministrator die Sicherheit für Standardanwender erhöht hat, indem seine zugewiesene Anwenderrolle während des Kalendertages in eine Sicherheitsrolle mit hohen Berechtigungen geändert wurde. Diese Sicherheitsrollen mit hohen Berechtigungen umfassen oauth_admin, admin, Security_admin und Impersonator.
    • Diese Metrik gibt an, dass jemand versucht hat, die Sicherheit eines nicht autorisierten Anwenders zu erhöhen. Verwenden Sie diese Metrik nicht allein, um eine bestimmte Sicherheitsgefährdung zu erkennen. Behandeln Sie diese Metrik stattdessen als Hinweis darauf, dass Sie eine andere Metrik überprüfen sollten, um festzustellen, ob eine Sicherheitskompromittierung aufgetreten ist.
    • Weitere Informationen zur Erhöhung der Anwendersicherheit finden Sie unter Auf eine privilegierte Rolle hochstufen Und Rollen mit erhöhten Rechten.
    SNC-Anmeldungen Anzahl von Kundenservice und Support Mitarbeiter, die sich am Kalendertag mit der Hi-Hopping-Technik bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen normalerweise zu Wartungs-, Support-, Beratungs- oder Audit-Zwecken.

    Für Informationen zur Steuerung ServiceNow Zugriff auf Mitarbeiter im Unternehmen, siehe ServiceNow-Zugriffssteuerung .
    Spam Weitere Informationen finden Sie unter E-Mail-Metriken.
    Vertrauenswürdige eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Nicht vertrauenswürdige eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Virustypen Anzahl der verschiedenen Arten von Antivirus-Ereignissen, die in dieser Instanz während des Kalendertages aufgetreten sind. Weitere Informationen zu Antivirus-Ereignistypen finden Sie unter Virenschutzmetriken .

    Ereignistrenddetails werden analysiert

    Um Trenddetails für eine Ereignismetrik anzuzeigen, klicken Sie auf die Ereignisanzahl, um auf die Analytics Hub-Seite zuzugreifen. Die Details, die für die Instanz angezeigt werden, hängen vom Typ der Metrik ab.

    So zeigen Sie beispielsweise eine Liste der fehlgeschlagenen Versuche auf der Seite „Sicherheits-Dashboard-Ereignisprotokolle“ an:
    • Wählen Sie aus Fehlgeschlagene Anmeldungen Metrik.
    • In Analytics Hub Seite klicken Sie auf Datensätze Anzeigen .
    • Klicken Sie auf einen der fehlgeschlagenen Anmeldeversuche.
    • Das Detail enthält den Namen des Anwenders, der versucht hat, sich anzumelden, seine IP-Adresse und den Tabellennamen, auf den er zugreifen wollte.

    Sie können Ereignisschwellenwertauslöser in einrichten Core-UI Analytics Hub Oder Platform Analytics KPI-Details Dient zum Bereitstellen von Warnungen, wenn ein bestimmtes Ereignis innerhalb eines Bereichs von Punktzahlen für auftritt Indikator. Sie können auch Ziele festlegen, mit denen Sie die Differenz zwischen der gewünschten Punktzahl und der tatsächlichen Punktzahl eines Ereignisses visualisieren können.

    Sie können beispielsweise einen Schwellenwert von festlegen 10 Für Fehlgeschlagene Anmeldungen Metrik. Wenn während des Tages zehn oder mehr fehlgeschlagene Anmeldeversuche auftreten, wird eine Warnung an bestimmte Sicherheitspersonal gesendet. Sie können auch ein ähnliches Ziel festlegen, das eine visuelle Hervorhebung in bietet Analytics Hub Wenn 10 fehlgeschlagene Anmeldungen an einem Tag auftreten.

    Trenddaten und -Diagramme, die in der Menübandkachel „Ereignis“ und angezeigt werden Analytics Hub Werden aktualisiert, nachdem der Performance Analytics-Auftrag um 02:00 Uhr Ortszeit ausgeführt wurde. Weitere Informationen finden Sie unter Wie die täglichen Compliance-Punktzahlen, Trends und Diagrammdaten aktualisiert werden.