보안 이벤트 모니터링

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 잠재적인 보안 이벤트를 식별하고 방지할 수 있도록 인스턴스의 이벤트 메트릭을 분석합니다.

    중요사항:

    인스턴스 보안 센터(ISC)는 2024년 9월자로 판매가 종료되었으며 더 이상 지원되지 않거나 새로운 활성화에 사용할 수 없습니다.

    ServiceNow SSC(보안 센터)는 앞으로 권장되는 솔루션입니다. 자세한 내용은 인스턴스 보안 센터에서 마이그레이션으로 ServiceNow 보안 센터 문서를 참조하십시오.
    인스턴스 보안 홈페이지에 있는 이벤트 리본에서 이러한 메트릭과 함께 제공되는 상세 정보를 분석하여 인스턴스의 잠재적 보안 이벤트를 식별할 수 있습니다.
    • 각 이벤트 메트릭에 대해 이 인스턴스에서 하루 동안 이벤트가 발생한 횟수를 나타내는 실시간 단일 점수 수가 표시됩니다. 이러한 단일 점수 보고서는 해당 이벤트가 발생하면 자동으로 업데이트됩니다.
    • 각 이벤트 메트릭에는 여러 날짜에 대한 규정 준수 추세 및 그래프 정보도 포함되어 있습니다. 이 정보는 퍼포먼스 분석 작업을 실행할 때 매일 업데이트됩니다. 자세한 내용은 이벤트 추세 세부 정보 분석 섹션을 참조하세요.

    이벤트 유형

    다음 이벤트 유형 중 6개 이상을 모니터링할 수 있습니다. 6개 이상의 이벤트의 경우 이벤트 리본 아래에 있는 왼쪽 또는 오른쪽 화살표를 사용하여 스크롤합니다. 이벤트 리본을 구성하는 방법에 대한 자세한 내용은 을 참조하십시오 보안 이벤트 리본 구성.

    알림 기본 설정 설명
    관리자 로그인 달력 하루 동안 할당된 관리자 역할을 가진 사용자의 이 인스턴스 로그인 시도 횟수입니다.
    관리자 사용자가 추가됨 해당 날짜에 이 인스턴스에 추가된 관리자 역할을 가진 사용자 수입니다. 예를 들어, 카운트가 10이지만 4명의 사용자에게 할당된 관리자 역할이 있는 경우 인스턴스에 보안 문제가 있을 수 있습니다.
    외부 수신 이메일 자세한 내용은 이메일 메트릭 문서를 참조하십시오.
    외부 로그인 해당 날짜에 이 인스턴스에 로그인한 할당된 snc_external 역할을 가진 사용자 수입니다. 이러한 로그인은 일반적으로 유지관리, 지원, 컨설팅 또는 감사 목적으로 발생합니다. 이 메트릭을 모니터링하면 외부 로그인 시도가 합법적이고 잠재적인 보안 문제가 아닌지 확인할 수 있습니다.

    외부 사용자 역할 할당에 대한 자세한 내용은 을 참조하십시오 명시적 역할.
    실패한 로그인 해당 날짜에 이 인스턴스에서 실패한 로그인 시도 수입니다.

    이 메트릭은 로그인하려는 시도가 발생하여 인스턴스 보안을 손상시키고 있음을 나타낼 수 있습니다.
    가장 정보 달력 하루 동안 이 인스턴스의 가장 로그인 수입니다. 사용자 가장에 대한 자세한 내용은 사용자 가장을 참조하세요.
    격리된 파일

    달력 날짜에 이 인스턴스에서 실행할 바이러스 백신 검사 때 격리된 파일 수입니다. 격리된 파일 및 바이러스 백신 검사에 대한 자세한 내용은 및 바이러스 백신 검사을 참조하십시오바이러스 백신 메트릭.
    보안 상승 해당 달력 동안 보안 관리자가 할당된 사용자 역할을 높은 권한 보안 역할로 변경하여 표준 사용자의 보안을 상승시킨 횟수입니다. 이러한 높은 권한 보안 역할에는 oauth_admin, 관리자, security_admin 및 가장자가 포함됩니다.
    • 이 메트릭은 누군가 권한 없는 사용자의 보안을 높이려고 시도했을 수 있음을 나타냅니다. 이 메트릭을 단독으로 사용하여 특정 보안 손상을 감지하지 마십시오. 대신 이 메트릭을 다른 메트릭을 확인하여 보안 손상이 발생했는지 확인해야 한다는 표시로 간주합니다.
    • 사용자 보안 향상에 대한 자세한 내용은 및 상승된 권한 역할을 참조하십시오권한 있는 역할로 승격.
    SNC 로그인 달력 날짜에 고객 서비스 및 지원 하이호핑 기술을 사용하여 이 인스턴스에 로그인한 사람 수입니다. 이러한 로그인은 일반적으로 유지관리, 지원, 컨설팅 또는 감사 목적으로 발생합니다.

    회사 직원 액세스를 제어 ServiceNow 하는 방법에 대한 자세한 내용은 ServiceNow 액세스 제어를 참조하십시오.
    스팸 자세한 내용은 이메일 메트릭 문서를 참조하십시오.
    신뢰할 수 있는 수신 이메일 자세한 내용은 이메일 메트릭 문서를 참조하십시오.
    신뢰할 수 없는 수신 이메일 자세한 내용은 이메일 메트릭 문서를 참조하십시오.
    바이러스 유형 하루 동안 이 인스턴스에서 발생한 다양한 유형의 바이러스 백신 이벤트 수입니다. 바이러스 백신 이벤트 유형에 대한 자세한 내용은 바이러스 백신 메트릭을 참조하세요.

    이벤트 추세 세부 정보 분석

    이벤트 메트릭에 대한 추세 상세 정보를 보려면 이벤트 수를 클릭하여 분석 허브 페이지에 액세스합니다. 인스턴스에 대해 나타나는 세부 정보는 메트릭 유형에 따라 다릅니다.

    예를 들어 보안 대시보드 이벤트 로그 페이지에서 실패한 각 시도의 목록을 보려면 다음을 수행합니다.
    • 실패한 로그인 메트릭을 선택합니다.
    • 페이지에서 Show Records(레코드 표시)를 분석 허브 클릭합니다.
    • 실패한 로그인 시도 중 하나를 클릭합니다.
    • 상세 정보에는 로그인을 시도한 사용자의 이름, IP 주소 및 액세스를 시도한 테이블 이름이 포함됩니다.

    에서 이벤트 임계치 트리거 분석 허브 를 설정하여 특정 이벤트가 표시기의 점수 범위 내에서 발생할 때 경보를 제공할 수 있습니다. 이벤트의 원하는 점수와 실제 점수 간의 차이를 시각화할 수 있는 대상을 설정할 수도 있습니다.

    예를 들어 실패한 로그인 메트릭에 대해 임계값을 10으로 설정할 수 있습니다. 하루에 로그인 시도가 10회 이상 실패하면 특정 보안 담당자에게 경보가 전송됩니다. 하루에 10번의 로그인 실패가 발생할 때 시각적 강조 표시 분석 허브 를 제공하는 유사한 대상을 설정할 수도 있습니다.

    이벤트 리본 타일에 나타나고 분석 허브 퍼포먼스 분석 작업이 현지 시간으로 02:00에 실행된 후 업데이트되는 추세 데이터 및 그래프입니다. 자세한 내용은 일일 준수 점수, 추세 및 그래프 데이터를 새로 고치는 방법 문서를 참조하십시오.