Surveiller les événements de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Analysez les mesures d’événements dans votre instance afin de pouvoir identifier et prévenir les événements de sécurité potentiels.

    Important :

    Le centre de sécurité de l’instance (ISC) a atteint la fin des ventes en septembre 2024 et n’est plus pris en charge ni disponible pour une nouvelle activation.

    ServiceNow Le Centre de sécurité (SSC) est la solution recommandée pour l’avenir. Pour plus d'informations, consultez Centre de sécurité de l’instance vers la ServiceNow Centre de sécurité migration.
    Dans le ruban d’événement, qui se trouve sur la page d’accueil Sécurité de l’instance, vous pouvez analyser ces mesures et les détails qui les accompagnent pour identifier les événements de sécurité potentiels dans l’instance.
    • Pour chaque mesure d’événement, un score unique en temps réel s’affiche, indiquant combien de fois l’événement s’est produit au cours de la journée dans cette instance. Ces rapports à score unique sont mis à jour automatiquement au fur et à mesure que les événements correspondants se produisent.
    • Chaque mesure d’événement contient également des informations de conformité, des tendances et des graphiques sur une plage de dates. Ces informations sont mises à jour quotidiennement lorsque vous exécutez la tâche d’analyse des performances. Pour en savoir plus, reportez-vous à la section de détail Analyse de la tendance des événements .

    Types d'événements

    Vous pouvez surveiller au moins six des types d’événements suivants. Pour plus de six événements, utilisez les flèches gauche ou droite sous le ruban d’événement pour les faire défiler. Pour plus d’informations sur la configuration du ruban d’événement, reportez-vous à la section Configurer le ruban d’événement de sécurité.

    Préférence de notification Description
    Connexions des administrateurs Nombre de tentatives de connexion dans cette instance, au cours de la journée calendaire, par les utilisateurs à qui un rôle administrateur a été affecté.
    Utilisateurs administrateurs ajoutés Nombre d’utilisateurs dotés d’un rôle administrateur qui ont été ajoutés dans cette instance au cours de la journée calendaire. Par exemple, votre instance peut rencontrer un problème de sécurité si le nombre est de 10, mais que 4 utilisateurs sont connus pour avoir un rôle administrateur affecté.
    E-mail entrant externe Pour en savoir plus, consultez Mesures d’e-mail.
    Connexions externes Nombre d’utilisateurs avec un rôle de snc_external affecté qui se sont connectés à cette instance au cours de la journée calendaire. Ces connexions ont généralement lieu à des fins de maintenance, de support, de conseil ou d’audit. La surveillance de cette mesure vous permet de vérifier que les tentatives de connexion externe sont légitimes et non des problèmes de sécurité potentiels.

    Pour en savoir plus sur l’affectation de rôles d’utilisateur externes, reportez-vous à la section Explicit Roles.
    Échecs de connexion Nombre de tentatives de connexion qui ont échoué dans cette instance au cours de la journée calendaire.

    Cette mesure peut indiquer que des tentatives de connexion sont effectuées et compromettent la sécurité de votre instance.
    Emprunts d'identité Nombre de connexions par emprunt d’identité dans cette instance au cours de la journée calendaire. Pour en savoir plus sur l’emprunt d’identité des utilisateurs, consultez la rubrique Emprunter l’identité d’un utilisateur.
    Fichiers en quarantaine

    Nombre de fichiers qui ont été mis en quarantaine lors de l’exécution Analyse anti-virus dans cette instance au cours de la journée calendaire. Pour en savoir plus sur les fichiers mis en quarantaine et Analyse anti-virus, reportez-vous à la section Mesures antivirus et Analyse anti-virus.
    Élévations de la sécurité Nombre de fois qu’un administrateur de sécurité a élevé la sécurité pour les utilisateurs standard en changeant le rôle d’utilisateur qui leur est affecté en un rôle de sécurité avec privilège élevé au cours de la journée calendaire. Ces rôles de sécurité à privilège élevé comprennent oauth_admin, administrateur, security_admin et emprunteur d’identité.
    • Cette mesure indique que quelqu’un a peut-être essayé d’élever la sécurité d’un utilisateur non autorisé. N’utilisez pas cette mesure seule pour détecter une compromission de sécurité spécifique. Traitez plutôt cette mesure comme une indication que vous devez vérifier une autre mesure pour voir si une compromission de sécurité s’est produite.
    • Pour en savoir plus sur l’amélioration de la sécurité des utilisateurs, reportez-vous aux sections Accéder à un rôle privilégié et Rôles à privilèges élevés.
    Connexions SNC Nombre de personnes qui se sont connectées à cette instance à l’aide de Service et assistance client la technique hi-hopping au cours de la journée calendaire. Ces connexions ont généralement lieu à des fins de maintenance, de support, de conseil ou d’audit.

    Pour plus d’informations sur le contrôle de l’accès ServiceNow des employés de l’entreprise, consultez Contrôle d’accès ServiceNow.
    Courrier indésirable Pour en savoir plus, consultez Mesures d’e-mail.
    E-mail entrant approuvé Pour en savoir plus, consultez Mesures d’e-mail.
    E-mail entrant non approuvé Pour en savoir plus, consultez Mesures d’e-mail.
    Types de virus Nombre de types différents d’événements antivirus qui se sont produits dans cette instance au cours de la journée calendaire. Pour en savoir plus sur les types d’événements antivirus, consultez Mesures antivirus.

    Analyse du détail de la tendance de l’événement

    Pour afficher les détails de tendance d’une mesure d’événement, cliquez sur le nombre d’événements pour accéder à la page du centre d’analyse. Les détails qui s’affichent pour l’instance dépendent du type de mesure.

    Par exemple, pour afficher la liste de chaque tentative infructueuse sur la page Journaux des événements du tableau de bord de sécurité :
    • Sélectionnez la mesure Échecs de connexion .
    • Dans la page, cliquez sur Afficher les Centre d'analyseenregistrements.
    • Cliquez sur l’une des tentatives de connexion infructueuses.
    • Le détail comprend le nom de l’utilisateur qui a tenté de se connecter, son adresse IP et le nom de la table à laquelle il a essayé d’accéder.

    Vous pouvez configurer des déclencheurs de seuil d’événement dans le Interface utilisateur principale Centre d'analyse ou Platform Analytics Détails des KPI pour fournir des alertes lorsqu’un certain événement se produit dans une plage de scores pour un indicateur. Vous pouvez également définir des cibles qui vous permettent de visualiser la différence entre le score souhaité et le score réel d’un événement.

    Par exemple, vous pouvez définir un seuil de 10 pour la mesure Échecs de connexion . Lorsque dix tentatives de connexion ou plus échouent au cours de la journée, une alerte est envoyée à un personnel de sécurité spécifique. Vous pouvez également définir une cible similaire qui fournit une mise en évidence visuelle lorsque Centre d'analyse 10 échecs de connexion se produisent au cours d’une journée.

    Les données et graphiques de tendance qui s’affichent dans la tuile du ruban d’événement et qui sont mis à jour après l’exécution Centre d'analyse de la tâche d’analyse des performances à 2h00, heure locale. Pour en savoir plus, consultez Actualisation quotidienne des données de score, de tendance et de graphique de conformité.