Surveiller les événements de sécurité
Analysez les mesures d’événements dans votre instance afin d’identifier et de prévenir les événements de sécurité potentiels.
Le Centre de sécurité de l’instance (ISC) a atteint la fin des ventes en septembre 2024 et n’est plus pris en charge ni disponible pour une nouvelle activation.
ServiceNow Le Centre de sécurité (SSC) est la solution recommandée pour l’avenir. Pour plus d'informations, consultez Centre de sécurité de l’instance vers ServiceNow Centre de sécurité migration.- Pour chaque mesure d’événement, un nombre de scores uniques en temps réel s’affiche, indiquant combien de fois l’événement s’est produit au cours de la journée dans cette instance. Ces rapports à score unique sont mis à jour automatiquement au fur et à mesure que les événements correspondants se produisent.
- Chaque mesure d’événement contient également des informations sur les tendances de conformité et les graphiques sur une plage de dates. Ces informations sont mises à jour quotidiennement lorsque vous exécutez la tâche d’analyse des performances. Pour en savoir plus, consultez la section Analyse des détails de tendance d’événement .
Types d'événements
Vous pouvez surveiller au moins six des types d’événements suivants. Pour plus de six événements, utilisez les flèches gauche ou droite sous le ruban d’événement pour les faire défiler. Pour en savoir plus sur la configuration du ruban d’événements, reportez-vous à la section Configurer le ruban des événements de sécurité.
| Préférence de notification | Description |
|---|---|
| Connexions des administrateurs | Nombre de tentatives de connexion dans cette instance, au cours d’un jour calendaire, par des utilisateurs à qui un rôle administrateur est affecté. |
| Utilisateurs administrateurs ajoutés | Nombre d’utilisateurs ayant un rôle administrateur qui ont été ajoutés dans cette instance au cours de la journée civile. Par exemple, votre instance peut rencontrer un problème de sécurité si le nombre est de 10, mais que 4 utilisateurs sont connus pour avoir un rôle administrateur affecté. |
| E-mail entrant externe | Pour en savoir plus, consultez Mesures d’e-mail. |
| Connexions externes | Nombre d’utilisateurs avec un rôle de snc_external affecté qui se sont connectés à cette instance au cours de la journée civile. Ces connexions sont généralement utilisées à des fins de maintenance, d’assistance, de conseil ou d’audit. La surveillance de cette mesure vous permet de vérifier que les tentatives de connexion externe sont légitimes et qu’il ne s’agit pas de problèmes de sécurité potentiels. Pour en savoir plus sur l’affectation des rôles d’utilisateur externe, reportez-vous à la section Explicit Roles. |
| Échecs de connexion | Nombre de tentatives de connexion ayant échoué dans cette instance au cours de la journée civile. Cette mesure peut indiquer que des tentatives de connexion sont faites et compromettent la sécurité de votre instance. |
| Emprunts d'identité | Nombre de connexions d’emprunt d’identité dans cette instance au cours de la journée calendaire. Pour en savoir plus sur l’emprunt d’identité d’un utilisateur, consultez Emprunter l’identité d’un utilisateur. |
| Fichiers en quarantaine | Nombre de fichiers qui ont été mis en quarantaine lors de l’exécution Analyse anti-virus dans cette instance au cours d’un jour calendaire. Pour en savoir plus sur les fichiers mis en quarantaine et Analyse anti-virus, consultez et Mesures antivirusAnalyse anti-virus. |
| Élévations de la sécurité | Nombre de fois où un administrateur de sécurité a élevé la sécurité pour les utilisateurs standard en changeant leur rôle d’utilisateur affecté en un rôle de sécurité à privilège élevé au cours d’une journée civile. Ces rôles de sécurité à privilège élevé comprennent oauth_admin, administrateur, security_admin et emprunteur d’identité.
|
| Connexions SNC | Nombre de membres du personnel qui se sont connectés à cette instance à l’aide de Service et assistance client la technique de saut hi-hop au cours de la journée civile. Ces connexions sont généralement utilisées à des fins de maintenance, d’assistance, de conseil ou d’audit. Pour plus d’informations sur le contrôle ServiceNow de l’accès des employés de l’entreprise, consultez Contrôle d’accès ServiceNow. |
| Courrier indésirable | Pour en savoir plus, consultez Mesures d’e-mail. |
| E-mail entrant approuvé | Pour en savoir plus, consultez Mesures d’e-mail. |
| E-mail entrant non approuvé | Pour en savoir plus, consultez Mesures d’e-mail. |
| Types de virus | Nombre de types différents d’événements antivirus qui se sont produits dans cette instance au cours d’un jour calendaire. Pour en savoir plus sur les types d’événements antivirus, consultez Mesures antivirus. |
Analyse des détails de tendance d’événement
Pour afficher les détails de la tendance d’une mesure d’événement, cliquez sur le nombre d’événements pour accéder à la page Centre d’analyse. Les détails qui s’affichent pour l’instance dépendent du type de mesure.
- Sélectionnez la mesure Échecs de connexion .
- Dans la page, cliquez sur Afficher les Centre d'analyseenregistrements.
- Cliquez sur l’une des tentatives de connexion échouées.
- Le détail comprend le nom de l’utilisateur qui a tenté de se connecter, son adresse IP et le nom de la table à laquelle il a essayé d’accéder.
Vous pouvez configurer des déclencheurs de seuil d’événement dans le Centre d'analyse pour fournir des alertes lorsqu’un certain événement se produit dans une plage de scores pour un indicateur. Vous pouvez également définir des cibles qui vous permettent de visualiser la différence entre le score souhaité et le score réel d’un événement.
Par exemple, vous pouvez définir un seuil de 10 pour la mesure Échecs de connexion . Lorsque dix tentatives de connexion infructueuses ou plus se produisent au cours de la journée, une alerte est envoyée au personnel de sécurité spécifique. Vous pouvez également définir une cible similaire qui fournit un point culminant visuel lorsque 10 échecs de connexion se produisent au cours d’une Centre d'analyse journée.