보안 이벤트 모니터링

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 인스턴스의 이벤트 메트릭을 분석하여 잠재적인 보안 이벤트를 식별하고 방지할 수 있습니다.

    중요사항:

    인스턴스 보안 센터(ISC)는 2024년 9월 현재 판매가 종료되었으며 더 이상 지원되지 않으며 새로운 활성화에 사용할 수 없습니다.

    ServiceNow SSC(보안 센터)는 앞으로 권장되는 솔루션입니다. 자세한 내용은 마이그레이션으로 ServiceNow 보안 센터 인스턴스 보안 센터 문서를 참조하십시오.
    인스턴스 보안 홈페이지에 있는 이벤트 리본에서 이러한 메트릭과 수반되는 상세 정보를 분석하여 인스턴스의 잠재적인 보안 이벤트를 식별할 수 있습니다.
    • 각 이벤트 메트릭에 대해 실시간 단일 점수 수가 나타나며, 이 인스턴스에서는 하루 동안 이벤트가 발생한 횟수를 나타냅니다. 이러한 단일 점수 보고서는 해당 이벤트가 발생할 때 자동으로 업데이트됩니다.
    • 각 이벤트 메트릭에는 날짜 범위에 대한 규정 준수 추세 및 그래프 정보도 포함됩니다. 이 정보는 퍼포먼스 분석 작업을 실행할 때 매일 업데이트됩니다. 자세한 내용은 이벤트 추세 세부 정보 분석 섹션을 참조하세요.

    이벤트 유형

    다음 이벤트 유형 중 6개 이상을 모니터링할 수 있습니다. 이벤트가 6개 이상인 경우 이벤트 리본 아래의 왼쪽 또는 오른쪽 화살표를 사용하여 이벤트를 스크롤합니다. 이벤트 리본을 구성하는 방법에 대한 자세한 내용은 문서를 참조하십시오 보안 이벤트 리본 구성.

    알림 기본 설정 설명
    관리자 로그인 이 인스턴스에서 할당된 관리자 역할이 있는 사용자가 하루 동안 시도한 로그인 횟수입니다.
    관리자 사용자가 추가됨 달력 하루 동안 이 인스턴스에 추가된 관리자 역할을 가진 사용자 수입니다. 예를 들어 카운트가 10이지만 관리자 역할이 할당된 사용자 4명인 경우 인스턴스에 보안 문제가 있을 수 있습니다.
    외부 수신 이메일 자세한 내용은 이메일 메트릭 문서를 참조하십시오.
    외부 로그인 하루 동안 이 인스턴스에 로그인한 할당된 snc_external 역할을 가진 사용자 수입니다. 이러한 로그인은 일반적으로 유지관리, 지원, 컨설팅 또는 감사 목적으로 수행됩니다. 이 메트릭을 모니터링하면 외부 로그인 시도가 합법적이며 잠재적인 보안 문제가 아닌지 확인할 수 있습니다.

    외부 사용자 역할 할당에 대한 자세한 내용은 다음 문서를 참조하십시오 명시적 역할.
    실패한 로그인 하루 동안 이 인스턴스에서 실패한 로그인 시도 횟수입니다.

    이 메트릭은 로그인하여 인스턴스 보안을 손상시키려는 시도가 이루어지고 있음을 나타낼 수 있습니다.
    가장 정보 달력 하루 동안 이 인스턴스의 가장 로그인 수입니다. 사용자 가장에 대한 자세한 내용은 사용자 가장을 참조하십시오.
    격리된 파일

    하루 동안 이 인스턴스에서 실행 바이러스 백신 검사 했을 때 격리된 파일 수입니다. 격리된 파일 및 바이러스 백신 검사에 대한 자세한 내용은 및 바이러스 백신 검사를 참조하십시오바이러스 백신 메트릭.
    보안 상승 보안 관리자가 하루 동안 할당된 사용자 역할을 높은 권한의 보안 역할로 변경하여 표준 사용자에 대한 보안을 상승시킨 횟수입니다. 이러한 높은 권한 보안 역할에는 oauth_admin, 관리자, security_admin 및 가장자가 포함됩니다.
    • 이 메트릭은 누군가가 권한 없는 사용자의 보안을 강화하려고 시도했을 수 있음을 나타냅니다. 이 메트릭만 사용하여 특정 보안 손상을 탐지하지 마십시오. 대신 이 메트릭을 다른 메트릭을 확인하여 보안 손상이 발생했는지 확인해야 한다는 표시로 취급합니다.
    • 사용자 보안 향상에 대한 자세한 내용은 해당 상승된 권한 역할문서를 참조하십시오권한 있는 역할로 상승.
    SNC 로그인 고객 서비스 및 지원 달력 하루 동안 하이홉 기술을 사용하여 이 인스턴스에 로그인한 직원 수입니다. 이러한 로그인은 일반적으로 유지관리, 지원, 컨설팅 또는 감사 목적으로 수행됩니다.

    회사 직원 액세스를 제어하는 ServiceNow 방법에 대한 자세한 내용은 ServiceNow 액세스 제어를 참조하십시오.
    스팸 자세한 내용은 이메일 메트릭 문서를 참조하십시오.
    신뢰할 수 있는 수신 이메일 자세한 내용은 이메일 메트릭 문서를 참조하십시오.
    신뢰할 수 없는 수신 이메일 자세한 내용은 이메일 메트릭 문서를 참조하십시오.
    바이러스 유형 하루 동안 이 인스턴스에서 발생한 다양한 유형의 바이러스 백신 이벤트 수입니다. 바이러스 백신 이벤트 유형에 대한 자세한 내용은 바이러스 백신 메트릭을 참조하세요.

    이벤트 추세 상세 정보 분석

    이벤트 메트릭의 추세 상세 정보를 보려면 이벤트 수를 클릭하여 분석 허브 페이지에 액세스합니다. 인스턴스에 대해 표시되는 상세 정보는 메트릭 유형에 따라 다릅니다.

    예를 들어 보안 대시보드 이벤트 로그 페이지에서 실패한 각 시도의 목록을 보려면 다음을 수행합니다.
    • 실패한 로그인 메트릭을 선택합니다.
    • 분석 허브 페이지에서 기록 표시를 클릭합니다.
    • 실패한 로그인 시도 중 하나를 클릭합니다.
    • 상세 정보에는 로그인을 시도한 사용자의 이름, IP 주소 및 액세스를 시도한 테이블 이름이 포함됩니다.

    에서 이벤트 임계치 트리거 코어 UI 분석 허브 를 설정하거나 표시기의 점수 범위 내에서 특정 이벤트가 발생할 때 경보를 제공할 수 있습니다.플랫폼 분석 KPI 세부 정보 원하는 점수와 이벤트의 실제 점수 간의 차이를 시각화할 수 있는 대상을 설정할 수도 있습니다.

    예를 들어 실패한 로그인 메트릭에 대해 임계치를 10으로 설정할 수 있습니다. 하루에 로그인 시도가 10회 이상 실패하면 특정 보안 담당자에게 경고가 전송됩니다. 하루에 10번의 로그인 실패가 분석 허브 발생하는 경우 시각적 강조 표시를 제공하는 유사한 대상을 설정할 수도 있습니다.

    이벤트 리본 타일에 분석 허브 나타나는 추세 데이터와 그래프는 현지 시간으로 오전 2:00에 퍼포먼스 분석 작업이 실행된 후에 업데이트됩니다. 자세한 내용은 일일 준수 점수, 추세 및 그래프 데이터를 새로 고치는 방법 문서를 참조하십시오.