セキュリティイベントの監視

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • 潜在的なセキュリティイベントを特定して防止できるように、インスタンスのイベントメトリクスを分析します。

    重要:

    インスタンスセキュリティセンター (ISC) は 2024 年 9 月の時点で販売が終了しており、サポートもされていないため、新たにアクティブ化することもできません。

    ServiceNow セキュリティセンター (SSC) が、今後推奨されるソリューションです。詳細については、「インスタンスセキュリティセンターから ServiceNow セキュリティセンターへの移行」を参照してください。
    [インスタンスセキュリティ (Instance Security)] ホームページにあるイベントリボンでは、これらのメトリクスとそれに付随する詳細を分析して、インスタンス内の潜在的なセキュリティイベントを特定できます。
    • イベントメトリクスごとにリアルタイムの単一スコア数が表示されます。この数値は、このインスタンスで 1 日にイベントが発生した回数を示しています。これらの単一スコアレポートは、対応するイベントが発生すると自動的に更新されます。
    • 各イベントメトリクスには、日付範囲内のコンプライアンスの傾向とグラフ情報も含まれています。パフォーマンスアナリティクスジョブを実行する場合、この情報は毎日更新されます。詳細については、「イベント傾向の詳細分析」セクションを参照してください。

    イベントタイプ

    次のタイプのイベントのうち、少なくとも 6 件のイベントを監視できます。イベントが 6 件を超える場合は、イベントリボンの下にある左右の矢印を使用してスクロールします。イベントリボンの設定方法については、「セキュリティイベントリボンの構成」を参照してください。

    通知設定 説明
    admin ログイン admin ロールを割り当てられたユーザーが、暦日の間にこのインスタンスにログインしようとした回数。
    admin ユーザーが追加されました 暦日の間にこのインスタンスに追加された admin ロールを持つユーザーの数。たとえば、カウントが 10 であるが、admin ロールを割り当てられたユーザーが 4 名の場合は、セキュリティ上の問題がある可能性があります。
    外部の受信メール 詳細については、「メールメトリクス 」を参照してください。
    外部ログイン 暦日の間にこのインスタンスにログインした、snc_external ロールを持つユーザーの数通常、これらのログインは、メンテナンス、サポート、コンサルティング、または監査の目的で発生します。このメトリクスを監視することで、外部ログイン試行が正規のものであり、潜在的なセキュリティ上の問題ではないことを確認できます。

    外部ユーザーロールの割り当ての詳細については、「明示的なロール」を参照してください。
    失敗したログイン 暦日の間にこのインスタンスで失敗したログインの数

    このメトリクスは、ログインが試行され、インスタンスのセキュリティが侵害されていることを示している可能性があります。
    代理操作 暦日の間にこのインスタンスで代理操作されたログインの数。ユーザーの代理操作の詳細については、「ユーザーの代理操作を行う」を参照してください。
    隔離されたファイル

    暦日の間にこのインスタンスで アンチウイルススキャン を実行したときに隔離されたファイルの数。隔離されたファイルと アンチウイルススキャン の詳細については、「ウイルス対策メトリクス」および「アンチウイルススキャン」を参照してください。
    セキュリティ昇格 暦日の間に、セキュリティアドミニストレーターが標準ユーザーに対して、割り当てられたユーザーロールを高い権限のセキュリティロールに変更することによって、セキュリティ権限を強化した回数。このような高権限のセキュリティ ロールには、oauth_admin、admin、security_admin、および impersonator が含まれます。
    • このメトリクスは、誰かが無許可のユーザーのセキュリティを昇格しようとした可能性があることを示しています。特定のセキュリティ侵害を検出するために、このメトリクスを単独で使用しないでください。代わりに、このメトリクスは、セキュリティ侵害の発生を確認するために別のメトリクスをチェックする必要があることを示す指標として扱ってください。
    • ユーザーセキュリティの昇格の詳細については、「特権ロールへの昇格」および「昇格された権限ロール」を参照してください。
    SNC ログイン 暦日の間にハイホッピング技術を使用してこのインスタンスにログインしたカスタマーサービス & サポート担当者の数。通常、これらのログインは、メンテナンス、サポート、コンサルティング、または監査の目的で発生します。

    ServiceNow 社員のアクセスを制御する方法については、「ServiceNow アクセス制御」を参照してください。
    スパム 詳細については、「メールメトリクス 」を参照してください。
    信頼できる受信メール 詳細については、「メールメトリクス 」を参照してください。
    信頼できない受信メール 詳細については、「メールメトリクス 」を参照してください。
    ウイルスタイプ 暦日の間にこのインスタンスで発生したさまざまなタイプのウイルス対策イベントの数。ウイルス対策イベントタイプの詳細については、「ウイルス対策メトリクス」を参照してください。

    イベント傾向の詳細分析

    イベントメトリクスの傾向の詳細を表示するには、イベント数をクリックして [アナリティクスハブ] ページにアクセスします。インスタンスに表示される詳細は、メトリクスのタイプによって異なります。

    たとえば、[セキュリティダッシュボードイベントログ] ページに試行の失敗を一覧表示するには、次の操作を実行します。
    • [失敗したログイン] メトリクスを選択します。
    • [アナリティクスハブ] ページで、[レコードを表示] をクリックします。
    • 失敗したログイン試行の 1 つをクリックします。
    • 詳細には、ログインを試行したユーザーの名前、ユーザーの IP アドレス、およびユーザーがアクセスしようとしたテーブル名が含まれます。

    インジケーターのスコア範囲内で特定のイベントが発生したときにアラートを提供するように、コア UI アナリティクスハブまたはプラットフォームアナリティクス KPI 詳細にイベントしきい値トリガーを設定できます。希望のスコアとイベントの実際のスコアとの差異を視覚化できるターゲットを設定することもできます。

    たとえば、[失敗したログイン] のメトリクスのしきい値を 10 に設定できます。1 日に 10 回以上ログイン試行が失敗すると、特定のセキュリティ担当者にアラートが送信されます。同様のターゲットを設定して、1 日に 10 回ログインに失敗したときに、[アナリティクスハブ] で視覚的にハイライト表示させることもできます。

    [イベント] リボンタイルと [アナリティクスハブ] に表示される傾向データとグラフは、パフォーマンスアナリティクスジョブが現地時間の 02:00 に実行された後に更新されます。詳細については、「日次コンプライアンススコア、傾向、およびグラフデータの更新方法 」を参照してください。