セキュリティイベントの監視

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • 潜在的なセキュリティイベントを特定して防止できるように、インスタンスのイベント測定基準を分析します。

    [インスタンスセキュリティ (Instance Security)] ホームページにあるイベントリボンでは、これらの測定基準とそれに付随する詳細を分析して、インスタンス内の潜在的なセキュリティイベントを特定できます。
    • イベント測定基準ごとにリアルタイムの単一スコア数が表示されます。この数値は、このインスタンスで 1 日にイベントが発生した回数を示しています。これらの単一スコアレポートは、対応するイベントが発生すると自動的に更新されます。
    • 各イベント測定基準には、日付範囲内のコンプライアンスの傾向とグラフ情報も含まれています。パフォーマンス分析ジョブを実行する場合、この情報は毎日更新されます。詳細については、「イベント傾向の詳細分析」セクションを参照してください。

    イベントタイプ

    次のタイプのイベントのうち、少なくとも 6 件のイベントを監視できます。イベントが 6 件を超える場合は、イベントリボンの下にある左右の矢印を使用してスクロールします。イベントリボンの設定方法については、「セキュリティイベントリボンの構成」を参照してください。

    通知設定 説明
    管理ログイン admin ロールを割り当てられたユーザーが、暦日の間にこのインスタンスにログインしようとした回数。
    管理者ユーザーが追加されました 暦日の間にこのインスタンスに追加された admin ロールを持つユーザーの数。たとえば、カウントが 10 であるが、admin ロールを割り当てられたユーザーが 4 名の場合は、セキュリティ上の問題がある可能性があります。
    外部の受信メール 詳細については、「メール測定基準 」を参照してください。
    外部ログイン 暦日の間にこのインスタンスにログインした、snc_external ロールを持つユーザーの数通常、これらのログインは、メンテナンス、サポート、コンサルティング、または監査の目的で発生します。この測定基準を監視することで、外部ログイン試行が正規のものであり、潜在的なセキュリティ上の問題ではないことを確認できます。

    外部ユーザーロールの割り当ての詳細については、「明示的なロール」を参照してください。
    失敗したログイン 暦日の間にこのインスタンスで失敗したログインの数

    この測定基準は、ログインが試行され、インスタンスのセキュリティが侵害されていることを示している可能性があります。
    代理操作 暦日の間にこのインスタンスで代理操作されたログインの数。ユーザーの代理操作の詳細については、「ユーザーの代理操作を行う」を参照してください。
    隔離されたファイル

    暦日の間にこのインスタンスで アンチウイルススキャン を実行したときに隔離されたファイルの数。隔離されたファイルと アンチウイルススキャン の詳細については、「ウイルス対策測定基準」および「アンチウイルススキャン」を参照してください。
    セキュリティ昇格 暦日の間に、セキュリティ管理者が標準ユーザーに対して、割り当てられたユーザーロールを高い権限のセキュリティロールに変更することによって、セキュリティ権限を強化した回数。このような高権限のセキュリティ ロールには、oauth_admin、admin、security_admin、および impersonator が含まれます。
    • この測定基準は、誰かが無許可のユーザーのセキュリティを昇格しようとした可能性があることを示しています。特定のセキュリティ侵害を検出するために、この測定基準を単独で使用しないでください。代わりに、この測定基準は、セキュリティ侵害の発生を確認するために別の測定基準をチェックする必要があることを示す指標として扱ってください。
    • ユーザーセキュリティの昇格の詳細については、「特権ロールへの昇格」および「昇格された権限ロール」を参照してください。
    SNC ログイン 暦日の間にハイホッピング技術を使用してこのインスタンスにログインしたカスタマーサービス & サポート担当者の数。通常、これらのログインは、メンテナンス、サポート、コンサルティング、または監査の目的で発生します。

    ServiceNow 社員のアクセスを制御する方法については、「ServiceNow アクセス制御」を参照してください。
    スパム 詳細については、「メール測定基準 」を参照してください。
    信頼できる受信メール 詳細については、「メール測定基準 」を参照してください。
    信頼できない受信メール 詳細については、「メール測定基準 」を参照してください。
    ウイルスタイプ 暦日の間にこのインスタンスで発生したさまざまなタイプのウイルス対策イベントの数。ウイルス対策イベントタイプの詳細については、「ウイルス対策測定基準」を参照してください。

    イベント傾向の詳細分析

    イベント測定基準の傾向の詳細を表示するには、イベント数をクリックして [分析ハブ] ページにアクセスします。インスタンスに表示される詳細は、測定基準のタイプによって異なります。

    たとえば、[セキュリティダッシュボードイベントログ] ページに試行の失敗を一覧表示するには、次の操作を実行します。
    • [失敗したログイン] 測定基準を選択します。
    • [アナリティクスハブ] ページで、[レコードを表示] をクリックします。
    • 失敗したログイン試行の 1 つをクリックします。
    • 詳細には、ログインを試行したユーザーの名前、ユーザーの IP アドレス、およびユーザーがアクセスしようとしたテーブル名が含まれます。

    アナリティクスハブ でイベントしきい値トリガーを設定して、インジケーターのスコアの範囲内で特定のイベントが発生したときにアラートを提供できます。希望のスコアとイベントの実際のスコアとの差異を視覚化できるターゲットを設定することもできます。

    たとえば、[失敗したログイン] の測定基準のしきい値を 10 に設定できます。1 日に 10 回以上ログイン試行が失敗すると、特定のセキュリティ担当者にアラートが送信されます。同様のターゲットを設定して、1 日に 10 回ログインに失敗したときに、[アナリティクスハブ] で視覚的にハイライト表示させることもできます。

    [イベント] リボンタイルと [アナリティクスハブ] に表示される傾向データとグラフは、パフォーマンス分析ジョブが現地時間の 02:00 に実行された後に更新されます。詳細については、「日次コンプライアンススコア、傾向、およびグラフデータの更新方法 」を参照してください。