Monitorar eventos de segurança

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Analise as métricas de evento em sua instância para que você possa identificar e evitar possíveis eventos de segurança.

    Na faixa de opções de eventos, que está na página inicial do Instance Security, você pode analisar essas métricas e os detalhes que as acompanham para identificar possíveis eventos de segurança na instância.
    • Para cada métrica de evento, uma contagem de pontuação única em tempo real aparece, indicando quantas vezes o evento ocorreu durante o dia nesta instância. Esses relatórios de pontuação única são atualizados automaticamente conforme os eventos correspondentes ocorrem.
    • Cada métrica de evento também contém tendências de conformidade e informações de gráfico em um intervalo de datas. Essas informações são atualizadas diariamente quando você executa o trabalho de análise de desempenho. Para saber mais, consulte a seção Analisar detalhe de tendência de evento.

    Tipos de eventos

    Você pode monitorar pelo menos seis dos seguintes tipos de eventos. Para mais de seis eventos, use as setas para a esquerda ou para a direita abaixo da faixa de opções de eventos para rolar por eles. Para saber como configurar a faixa de opções de eventos, consulte Configurar a faixa de opções de eventos de segurança.

    Preferência de notificação Descrição
    Logins de Administrador Número de tentativas de login nesta instância, durante o dia do calendário, por usuários que têm uma função de administrador atribuída.
    Usuários Administradores Adicionados Número de usuários com função de administrador que foram adicionados a esta instância durante o dia do calendário. Por exemplo, sua instância pode ter um problema de segurança se a contagem for 10, mas 4 usuários são conhecidos por terem uma função de administrador atribuída.
    E-mails de Entrada Externos Para saber mais, consulte Métricas de e-mail.
    Logins Externos Número de usuários com uma função snc_external atribuída que fizeram login nesta instância durante o dia do calendário. Esses logins normalmente ocorrem para fins de manutenção, suporte, consultoria ou auditoria. O monitoramento desta métrica permite que você verifique se as tentativas de login externo são legítimas e não são possíveis problemas de segurança.

    Para saber mais sobre como atribuir funções de usuário externo, consulte Funções explícitas.
    Logins com falha Número de tentativas de login que falharam nesta instância durante o dia do calendário.

    Esta métrica pode indicar que estão sendo feitas tentativas de fazer login e comprometem a segurança da instância.
    Representações Número de logins de representação nesta instância durante o dia do calendário. Para saber mais sobre como representar usuários, consulte Representar um usuário.
    Arquivos em quarentena

    Número de arquivos que foram colocados em quarentena quando você executou o Varredura antivírus nesta instância durante o dia do calendário. Para saber mais sobre arquivos em quarentena e o Varredura antivírus, consulte Métricas de antivírus e Varredura antivírus.
    Elevações de Segurança Número de vezes que um administrador de segurança elevou a segurança para usuários padrão, alterando sua função de usuário atribuída para uma função de segurança de alto privilégio durante o dia do calendário. Essas funções de segurança de alto privilégio incluem oauth_admin, admin, security_admin e representante.
    • Esta métrica indica que alguém pode ter tentado elevar a segurança de um usuário não autorizado. Não use esta métrica por si só para detectar um comprometimento de segurança específico. Em vez disso, trate esta métrica como uma indicação de que você deve verificar outra métrica para ver se ocorreu um comprometimento da segurança.
    • Para saber mais sobre como elevar a segurança do usuário, consulte Elevação para uma função privilegiada e Funções de privilégio elevado.
    Logins SNC Número de funcionários de Suporte e atendimento ao cliente que fizeram login nesta instância usando a técnica de hi-hopping durante o dia do calendário Esses logins normalmente ocorrem para fins de manutenção, suporte, consultoria ou auditoria.

    Para obter informações sobre como controlar o acesso de funcionários corporativos da ServiceNow, consulte Controle de acesso da ServiceNow.
    Spam Para saber mais, consulte Métricas de e-mail.
    E-mails Recebidos Confiáveis Para saber mais, consulte Métricas de e-mail.
    E-mails Recebidos Não Confiáveis Para saber mais, consulte Métricas de e-mail.
    Tipos de Vírus Número de diferentes tipos de eventos de antivírus que ocorreram nesta instância durante o dia do calendário. Para saber mais sobre os tipos de evento de antivírus, consulte Métricas de antivírus.

    Analisar detalhe de tendência de evento

    Para exibir os detalhes da tendência de uma métrica de evento, clique na contagem de eventos para acessar a página do Hub de análise. Os detalhes que aparecem para a instância dependem do tipo de métrica.

    Por exemplo, para exibir uma lista de cada tentativa com falha na página Logs de eventos do painel de segurança:
    • Selecione a métrica Logins com falha.
    • Na página Hub de análise, clique em Mostrar registros.
    • Clique em uma das tentativas de login com falha.
    • Os detalhes incluem o nome do usuário que tentou fazer login, o endereço IP e o nome da tabela que ele tentou acessar.

    Você pode configurar gatilhos de limite de evento em Hub de análise para fornecer alertas quando um determinado evento ocorrer dentro de um intervalo de pontuações para um indicador. Você também pode definir metas que permitem visualizar a diferença entre a pontuação desejada e a pontuação real de um evento.

    Por exemplo, você pode definir um limite de 10 para a métrica Logins com falha. Quando ocorrem dez ou mais tentativas de login com falha durante o dia, um alerta é enviado para a equipe de segurança específica. Você também pode definir um destino semelhante que forneça um destaque visual no Hub de análise quando ocorrerem 10 falhas de login durante um dia.

    Os dados e os gráficos de tendência que aparecem no bloco da faixa de opções de evento e o Hub de análise são atualizados após a execução do trabalho de análise de desempenho às 2h hora local. Para saber mais, consulte Como a pontuação de Conformidade diária e os dados de tendência e do gráfico são atualizados.