Surveiller les événements de sécurité
Analysez les mesures d’événements dans votre instance afin d’identifier et de prévenir les événements de sécurité potentiels.
- Pour chaque mesure d’événement, un nombre de scores uniques en temps réel s’affiche, indiquant le nombre de fois où l’événement s’est produit au cours de la journée dans cette instance. Ces rapports à score unique sont mis à jour automatiquement au fur et à mesure que les événements correspondants se produisent.
- Chaque mesure d’événement contient également des informations graphiques et de tendance de conformité sur une plage de dates. Ces informations sont mises à jour quotidiennement lorsque vous exécutez la tâche Performance Analytics. Pour en savoir plus, consultez la section Analyse des détails de tendance des événements .
Types d'événements
Vous pouvez surveiller au moins six des types d’événements suivants. Pour plus de six événements, utilisez les flèches gauche ou droite sous le ruban de l’événement pour les faire défiler. Pour apprendre à configurer le ruban d’événement, reportez-vous à la section Configurer le ruban des événements de sécurité.
| Préférence de notification | Description |
|---|---|
| Connexions des administrateurs | Nombre de tentatives de connexion dans cette instance, au cours du jour du calendrier, par les utilisateurs auxquels un rôle administrateur a été affecté. |
| Utilisateurs administrateurs ajoutés | Nombre d’utilisateurs avec un rôle administrateur qui ont été ajoutés dans cette instance au cours du jour du calendrier. Par exemple, votre instance peut rencontrer un problème de sécurité si le nombre est de 10, mais que 4 utilisateurs sont connus pour avoir un rôle d’administrateur affecté. |
| E-mail entrant externe | Pour en savoir plus, consultez Mesures d’e-mail. |
| Connexions externes | Nombre d’utilisateurs à qui un rôle de snc_external affecté se sont connectés à cette instance au cours de la journée du calendrier. Ces connexions sont généralement effectuées à des fins de maintenance, d’assistance, de conseil ou d’audit. La surveillance de cette mesure vous permet de vérifier que les tentatives de connexion externe sont légitimes et ne posent pas de problèmes de sécurité potentiels. Pour en savoir plus sur l’affectation de rôles d’utilisateur externe, reportez-vous à Explicit Roles. |
| Échecs de connexion | Nombre de tentatives de connexion ayant échoué dans cette instance au cours de la journée du calendrier. Cette mesure peut indiquer que des tentatives de connexion sont effectuées et compromettre la sécurité de votre instance. |
| Emprunts d'identité | Nombre de connexions d’emprunt d’identité dans cette instance au cours d’un jour calendaire. Pour en savoir plus sur l’emprunt d’identité d’utilisateurs, voir Emprunter l’identité d’un utilisateur. |
| Fichiers en quarantaine | Nombre de fichiers qui ont été mis en quarantaine lors de votre exécution Analyse anti-virus dans cette instance au cours de la journée civile. Pour en savoir plus sur les fichiers mis en quarantaine et Analyse anti-virus, consultez Mesures antivirus et Analyse anti-virus. |
| Élévations de la sécurité | Nombre de fois où un administrateur de sécurité a élevé la sécurité des utilisateurs standard en remplaçant le rôle d’utilisateur qui lui est affecté par un rôle de sécurité avec des privilèges élevés au cours d’un jour civil. Ces rôles de sécurité à privilège élevé comprennent oauth_admin, admin, security_admin et emprunteur d’identité.
|
| Connexions SNC | Nombre de membres du Service et assistance client personnel qui se sont connectés à cette instance à l’aide de la technique de saut hi-hop au cours de la journée civile. Ces connexions sont généralement effectuées à des fins de maintenance, d’assistance, de conseil ou d’audit. Pour plus d’informations sur la façon de contrôler ServiceNow l’accès des employés de l’entreprise, consultez Contrôle d’accès ServiceNow. |
| Courrier indésirable | Pour en savoir plus, consultez Mesures d’e-mail. |
| E-mail entrant approuvé | Pour en savoir plus, consultez Mesures d’e-mail. |
| E-mail entrant non approuvé | Pour en savoir plus, consultez Mesures d’e-mail. |
| Types de virus | Nombre de différents types d’événements antivirus qui se sont produits dans cette instance au cours de la journée civile. Pour en savoir plus sur les types d’événements antivirus, consultez Mesures antivirus. |
Analyse des détails de tendance d’un événement
Pour afficher les détails de la tendance d’une mesure d’événement, cliquez sur le nombre d’événements pour accéder à la page Centre d’analyse. Les détails qui s’affichent pour l’instance dépendent du type de mesure.
- Sélectionnez la mesure Échecs de connexion .
- Dans la page, cliquez sur Afficher les Centre d'analyseenregistrements.
- Cliquez sur l’une des tentatives de connexion échouées.
- Le détail inclut le nom de l’utilisateur qui a tenté de se connecter, son adresse IP et le nom de la table à laquelle il a essayé d’accéder.
Vous pouvez configurer des déclencheurs de seuil d’événement dans le Centre d'analyse afin de fournir des alertes lorsqu’un certain événement se produit dans une plage de scores pour un indicateur. Vous pouvez également définir des cibles qui vous permettent de visualiser la différence entre le score souhaité et le score réel d’un événement.
Par exemple, vous pouvez définir un seuil de 10 pour la mesure Échecs de connexion . Lorsque dix tentatives de connexion infructueuses ou plus se produisent au cours de la journée, une alerte est envoyée au personnel de sécurité spécifique. Vous pouvez également définir une cible similaire qui fournit un point culminant visuel lorsque Centre d'analyse 10 connexions échouées se produisent au cours d’une journée.