Überwachen Sie Sicherheits-Ereignisse

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Analysieren Sie die Event-Metriken in Ihrer Instanz, damit Sie potenzielle Sicherheits-Events erkennen und verhindern können.

    Im Event-Menüband auf der Instanzsicherheits-Homepage können Sie diese Metriken und die zugehörigen Details analysieren, um potenzielle Sicherheits-Events in der Instanz zu identifizieren.
    • Für jede Event-Metrik wird eine einzelne Punktzahl in Echtzeit angezeigt, die angibt, wie oft das Event während des Tages in dieser Instanz aufgetreten ist. Diese Einzel-Punktzahl-Berichte werden automatisch aktualisiert, wenn die entsprechenden Ereignisse stattfinden.
    • Jede Event-Metrik enthält auch Compliance-Trend- und Diagramminformationen für einen bestimmten Datumsbereich. Diese Informationen werden täglich aktualisiert, wenn Sie den Performance Analytics-Auftrag ausführen. Weitere Informationen finden Sie im Abschnitt „ Event-Trenddetails analysieren “.

    Ereignistypen

    Sie können mindestens sechs der folgenden Ereignistypen überwachen. Verwenden Sie bei mehr als sechs Events die Pfeile nach links oder rechts unter dem Event-Menüband, um durch sie zu scrollen. Informationen zum Konfigurieren des Event-Menübands finden Sie unter Konfigurieren Sie das Sicherheits-Event-Menüband.

    Benachrichtigungseinstellung Beschreibung
    Administratoranmeldungen Anzahl der Anmeldeversuche in dieser Instanz während des Kalendertags durch Benutzer, denen eine Administratorrolle zugewiesen ist.
    Administratorbenutzer hinzugefügt Anzahl der Benutzer mit einer Administratorrolle, die in dieser Instanz während des Kalendertags hinzugefügt wurden. Beispielsweise kann in Ihrer Instanz ein Sicherheitsproblem auftreten, wenn die Anzahl 10 beträgt, aber 4 Benutzer bekanntermaßen eine zugewiesene Administratorrolle haben.
    Externe eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Externe Anmeldungen Anzahl der Benutzer mit der zugewiesenen Rolle snc_external, die sich während des Kalendertags bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen in der Regel zu Wartungs-, Support-, Beratungs- oder Auditzwecken. Durch die Überwachung dieser Metrik können Sie überprüfen, ob die externen Anmeldeversuche legitim sind und keine potenziellen Sicherheitsprobleme darstellen.

    Weitere Informationen zum Zuweisen externer Benutzerrollen finden Sie unter Explizite Rollen.
    Fehlgeschlagene Anmeldungen Anzahl der versuchten Anmeldungen, die während des Kalendertags in dieser Instanz fehlgeschlagen sind.

    Diese Metrik kann darauf hinweisen, dass versucht wird, sich anzumelden und die Sicherheit Ihrer Instanz zu gefährden.
    Identitätswechsel Anzahl der Anmeldungen mit Identitätswechsel in dieser Instanz während des Kalendertags. Weitere Informationen dazu, wie Sie die Identität von Benutzern annehmen, finden Sie unter Identitäten von Benutzern annehmen.
    Dateien in Quarantäne

    Anzahl der Dateien, die beim Ausführen von Antivirus-Scanning in dieser Instanz während des Kalendertags unter Quarantäne gestellt wurden. Weitere Informationen zu Dateien in Quarantäne und Antivirus-Scanningfinden Sie unter Virenschutzmetriken und Antivirus-Scanning.
    Erhöhungen der Sicherheit Anzahl der Fälle, in denen ein Sicherheitsadministrator die Sicherheit für Standardbenutzer erhöht hat, indem die zugewiesene Benutzerrolle während des Kalendertags in eine Sicherheitsrolle mit hohen Berechtigungen geändert wurde. Zu diesen Sicherheitsrollen mit hohen Berechtigungen gehören oauth_admin, admin, security_admin und impersonator.
    • Diese Metrik weist darauf hin, dass jemand versucht hat, die Sicherheit eines nicht autorisierten Benutzers zu erhöhen. Verwenden Sie diese Metrik nicht allein, um eine bestimmte Sicherheitsgefährdung zu erkennen. Behandeln Sie diese Metrik stattdessen als Hinweis darauf, dass Sie eine andere Metrik überprüfen sollten, um festzustellen, ob eine Sicherheitskompromittierung aufgetreten ist.
    • Weitere Informationen zum Erhöhen der Benutzersicherheit finden Sie unter Führen Sie eine Erhöhung auf eine privilegierte Rolle durch und Rollen mit erhöhten Berechtigungen.
    SNC-Anmeldungen Anzahl der Kundenservice und Support Mitarbeiter, die sich während des Kalendertags mithilfe der Hi-Hopping-Technik bei dieser Instanz angemeldet haben. Diese Anmeldungen erfolgen in der Regel zu Wartungs-, Support-, Beratungs- oder Auditzwecken.

    Informationen zur Steuerung des Zugriffs von ServiceNow für Unternehmensmitarbeiter finden Sie unter ServiceNow-Zugriffssteuerung.
    Spam Weitere Informationen finden Sie unter E-Mail-Metriken.
    Vertrauenswürdige eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Nicht vertrauenswürdige eingehende E-Mail Weitere Informationen finden Sie unter E-Mail-Metriken.
    Virustypen Anzahl der verschiedenen Arten von Antiviren-Ereignissen, die in dieser Instanz während des Kalendertags aufgetreten sind. Weitere Informationen zu Antivirus-Ereignistypen finden Sie unter Antivirus-Metriken.

    Event-Trenddetails werden analysiert

    Um Trenddetails für eine Event-Metrik anzuzeigen, klicken Sie auf die Event-Anzahl, um auf die Seite „Analyse-Hub“ zuzugreifen. Die für die Instanz angezeigten Details hängen vom Typ der Metrik ab.

    So zeigen Sie beispielsweise eine Liste aller Fehlversuche auf der Seite „Ereignisprotokolle des Sicherheits-Dashboards“ an:
    • Wählen Sie die Metrik Fehlgeschlagene Anmeldungen aus.
    • Klicken Sie auf der Seite Analytics Hub auf Datensätzeanzeigen.
    • Klicken Sie auf einen der fehlgeschlagenen Anmeldeversuche.
    • Die Details umfassen den Namen des Benutzers, der versucht hat, sich anzumelden, seine IP-Adresse und den Namen der Tabelle, auf die er zuzugreifen versucht hat.

    Sie können Event-Schwellenwertauslöser in Analytics Hub einrichten, um Warnungen bereitzustellen, wenn ein bestimmtes Event innerhalb eines Punktzahlbereichs für einen Indikator auftritt. Sie können auch Ziele festlegen, mit denen Sie den Unterschied zwischen der gewünschten Punktzahl und der tatsächlichen Punktzahl eines Events visualisieren können.

    Sie können beispielsweise einen Schwellenwert von 10 für die Metrik „ Fehlgeschlagene Anmeldungen “ festlegen. Wenn an einem Tag zehn oder mehr fehlgeschlagene Anmeldeversuche auftreten, wird eine Warnung an bestimmtes Sicherheitspersonal gesendet. Sie können auch ein ähnliches Ziel festlegen, das im Analytics Hub visuell hervorgehoben wird, wenn an einem Tag 10 fehlgeschlagene Anmeldungen auftreten.

    Trenddaten und Diagramme, die in der Menübandkachel „Event“ angezeigt werden, und Analytics Hub werden aktualisiert, nachdem der Performance Analytics-Auftrag um 02:00 Uhr Ortszeit ausgeführt wurde. Weitere Informationen finden Sie unter Wie die Punktzahlen, Trends und Diagrammdaten der täglichen Compliance aktualisiert werden.