ahanafkab/servicenow-itsm-lab

# 🎫 ServiceNow ITSM 家庭实验室 ## 📊 项目概述 | 详情 | 值 | |--------|-------| | **平台** | ServiceNow PDI (dev383581.service-now.com) | | **使用的模块** | 事件管理、问题管理、变更管理、知识库、SLA 管理、平台分析 | | **总工单数** | 16 个已解决事件 | | **优先级范围** | P1 紧急到 P4 低 | | **安全事件** | 6 个（包括 3 个 P1 紧急） | | **持续时间** | 2026 年 4 月 | ## 🖥️ 仪表板  ## 🔧 环境配置 在创建任何工单之前，已配置 ServiceNow 实例以模拟真实的企业 IT 环境。 ### 已创建的分配组 | 组 | 层级 | 职责 | |-------|------|---------------| | L1 - 服务台 | L1 | 第一线支持、基础故障排除 | | L2 - 桌面支持 | L2 | 软硬件现场支持 | | L3 - 网络团队 | L3 | 网络基础设施与连接 | | L3 - 安全运营 | L3 | 安全事件与调查 | | L3 - 数据库管理员 | L3 | 数据库访问与性能 | | L3 - 服务器团队 | L3 | 服务器基础设施管理 | | 变更顾问委员会 | CAB | 审核并批准变更请求 | ### 已配置的 SLA 策略 | 优先级 | 响应时间 | 解决时间 | |----------|--------------|-----------------| | P1 - 紧急 | 15 分钟 | 4 小时 | | P2 - 高 | 30 分钟 | 8 小时 | | P3 - 中等 | 2 小时 | 24 小时 | | P4 - 低 | 4 小时 | 72 小时 | ### 已创建的知识库文章 | 文章 | 主题 | |---------|-------| | KB0010001 | 如何通过自助服务门户重置密码 | | KB0010002 | 排查 VPN 连接问题 | | KB0010003 | 如何识别并报告钓鱼邮件 | | KB0010004 | 如何请求软件安装 | | KB0010005 | 公司笔记本电脑的 Wi-Fi 故障排查 | ## 🎟️ 事件工单 ### 阶段 1 — 通用 IT 支持 | 工单 | 简要描述 | 优先级 | 分配组 | 解决 | |--------|-------------------|----------|-----------------|------------| | INC0010001 | 密码重置 — 用户 AD 账户被锁定 | P4 - 低 | L1 - 服务台 | 验证身份，解锁 AD 账户，重置密码 | | INC0010002 | 笔记本电脑无法开机 — 无 LED 响应 | P3 - 中等 | L1 - 服务台 | 确认硬件故障，转交 L2，发放备用机 | | INC0010003 | 自昨天起 Outlook 无法接收新邮件 | P3 - 中等 | L1 - 服务台 | 邮箱配额达 96% — 归档 8GB，邮件流恢复 | | INC0010004 | 新员工入职 — 财务部门 | P2 - 高 | L1 - 服务台 | 完整配置：AD、邮箱、VPN、SAP、电脑镜像 | ### 阶段 2 — 网络与基础设施 | 工单 | 简要描述 | 优先级 | 分配组 | 解决 | |--------|-------------------|----------|-----------------|------------| | INC0010005 | 远程用户 VPN 连接超时 | P2 - 高 | L3 - 网络团队 | 过时的 VPN 客户端 + 已过期证书 — 均已修复 | | INC0010006 | 销售网络驱动器无法访问 — 影响 15 名用户 | P2 - 高 | L3 - 网络团队 | 销售组被意外移除共享权限 — 已恢复 | | INC0010007 | 夜间备份失败 — 财务数据库 FIN-DB-01 | P2 - 高 | L3 - 服务器团队 | 备份卷达 98% — 归档旧备份，任务重新运行成功 | ### 阶段 3 — 安全事件 ⚠️ | 工单 | 简要描述 | 优先级 | 分配组 | 解决 | |--------|-------------------|----------|-----------------|------------| | INC0010008 | 报告钓鱼邮件 — 可疑凭证窃取 | P2 - 高 | L3 - 安全运营 | 发件人已屏蔽，47 个邮箱撤回邮件，2 名点击用户已升级处理 | | INC0010009 | **紧急** — 疑似恶意软件感染，工作站 WS-MKT-007 | P1 - 紧急 | L3 - 安全运营 | 机器隔离，发现 `Trojan.GenericKD.47821`，擦除并重新镜像，所有凭证重置 | | INC0010010 | **紧急** — CFO 账户暴力破解攻击 — 47 次失败登录 | P1 - 紧急 | L3 - 安全运营 | 账户禁用，IP 在防火墙屏蔽，所有高管账户启用 MFA | | INC0010011 | 检测到未授权软件 — BitTorrent 和 TeamViewer | P3 - 中等 | L3 - 安全运营 | 卸载软件，审查连接日志，通知用户及其经理 | | INC0010012 | **紧急** — DLP 告警，员工尝试发送 PII 薪资数据 | P1 - 紧急 | L3 - 安全运营 | 传输被阻断，确认此前外传 12 条记录，通知法务与 HR，启动合规流程 | | INC0010013 | 尝试连接 USB 存储设备被阻止 — 财务工作站 | P3 - 中等 | L3 - 安全运营 | 阻止确认，无数据传输，用户接受可移动介质策略培训 | ### 阶段 4 — 升级与变更管理 | 工单 | 简要描述 | 优先级 | 分配组 | 解决 | |--------|-------------------|----------|-----------------|------------| | INC0010014 | **重大事件** — Salesforce CRM 对 50 名销售用户不可用 | P1 - 紧急 | L3 - 安全运营 | NA72 实例的 ISP 侧 outage，建立桥接通话，97 分钟后恢复 | | INC0010015 | 紧急变更 — 为 30 台服务器部署零日补丁 CVE-2026-29891 | P1 - 紧急 | 变更顾问委员会 | 紧急 CAB 批准，30 台服务器夜间完成补丁，漏洞确认已修复 | | INC0010016 | 周期性 ERP 宕机（每周二/四）— 根因调查 | P2 - 高 | L3 - 服务器团队 | RCA：数据库索引重建任务在业务时间运行占用 94% RAM — 调整至凌晨 1 点 | | INC0010017 | 紧急 — 已离职员工账户去授权 | P2 - 高 | L1 - 服务台 | 40 分钟内完成全部去授权：AD、VPN、邮箱、Jira、GitHub、AWS、Slack、徽章全部撤销 | ## 📈 分析与指标 ### 已构建的报告 | 报告 | 类型 | 关键发现 | |--------|------|-------------| | 按类别统计事件 | 环形图 | 咨询/帮助 62.5%，硬件 12.5%，网络 12.5%，软件 12.5% | | 按优先级统计事件 | 柱状图 | 5 个紧急，5 个高，3 个中等，3 个低 | | 按分配组统计事件 | 柱状图 | L3 安全运营处理工单最多（7 个） | | 按状态统计事件 | 环形图 | 16 个已解决（占实例工单的 28.57%） | 总解决事件数 | 单值 | 16 | | 所有已解决事件 | 列表视图 | 包含优先级、类别和分配组的完整工单日志 | ## 🔐 安全事件重点 本实验室高度重视与安全相关的事件处理，以打通 IT 支持与网络安全运营。 ### 恶意软件遏制（INC0010009） - 收到报告后立即将工作站与网络隔离 - 在隔离环境中运行端点 AV 扫描 — 发现 `Trojan.GenericKD.47821` 和 `Adware.BrowseFox` - 记录 IOCs：恶意软件名称、C2 域名（`update-srv.xyz`、`pdf-tools.net`） - 转交安全运营进行取证镜像 - 工作站擦除并重新镜像，所有凭证重置作为预防措施 - C2 域名在边界防火墙被屏蔽 ### 暴力破解攻击响应（INC0010010） - SIEM 告警：10 分钟内来自 IP `185.220.101.47`（东欧）47 次登录失败 - 账户在 1 分钟内被禁用 - 日志验证无成功认证 - 确认 CFO 当天在办公室 — 确认非其本人操作 - 事件后对所有高管账户强制启用 MFA - 提交完整事件报告至安全运营 ### DLP 数据外泄（INC0010012） - DLP 系统阻止外发包含 `Q3_Employee_Salaries_Full.xlsx`（含 214 名员工记录及 SSN）的邮件 - 日志审查发现此前 2 周成功外传 12 条记录 - 账户被暂停，法务与 HR 在 30 分钟内收到通知 - 法务团队参与违规通知评估 - 安全运营完成取证审查 ## 🛠️ 展示技能 - **事件管理** — 从创建到解决的完整工单生命周期及详细工作记录 - **安全事件响应** — 遏制、调查、升级与 P1 安全事件的文档记录 - **分级与优先级划分** — 在所有工单类别中应用 P1-P4 SLA 框架 - **升级流程** — 向 L2/L3 团队移交时提供适当的诊断历史与交接笔记 - **变更管理** — 紧急变更请求、CAB 批准与回滚计划 - **问题管理** — 根因分析，将重复事件关联至根本原因 - **知识管理** — 创建 5 篇知识库文章并链接至相关工单解决 - **ITSM 管理** — 配置分配组、SLA 策略与分析报告 - **报告与分析** — 构建 6 份自定义报告及 ServiceNow 仪表板 ## 📁 仓库结构 ``` servicenow-itsm-lab/ ├── README.md ├── dashboard/ │ └── ITSM_Dashboard.png ├── configuration/ │ ├── day1-fresh-instance.png │ ├── day1-groups-configured.png │ ├── day1-sla-definitions.png │ └── kb-articles-complete.png ├── tickets/ │ ├── phase1-general-it/ │ │ ├── ticket-01-resolved.png │ │ ├── ticket-02-resolved.png │ │ ├── ticket-03-resolved.png │ │ └── ticket-08-resolved.png │ ├── phase2-network-infrastructure/ │ │ ├── ticket-09-resolved.png │ │ ├── ticket-11-resolved.png │ │ └── ticket-14-resolved.png │ ├── phase3-security/ │ │ ├── ticket-15-resolved.png │ │ ├── ticket-16-resolved.png │ │ ├── ticket-17-resolved.png │ │ ├── ticket-18-resolved.png │ │ ├── ticket-19-resolved.png │ │ └── ticket-20-resolved.png │ └── phase4-escalation-change/ │ ├── ticket-21-resolved.png │ ├── ticket-23-resolved.png │ └── ticket-24-resolved.png └── reports/ ├── incidents-by-category.png ├── incidents-by-priority.png ├── incidents-by-assignment-group.png ├── incidents-by-state.png ├── total-resolved-incidents.png └── all-resolved-incidents.png ``` ## 🔗 相关项目 - [Wazuh SIEM 家庭实验室](https://github.com/ahanafkab/wazuh-siem-lab) — 多节点 SIEM，含 Active Directory、暴力破解检测与 MITRE ATT&CK 映射 ## 👤 关于 **Ahanaf Kabir** 亚特兰大，GA | ahanafkab@gmail.com | [github.com/ahanafkab](https://github.com/ahanafkab) 信息技术学士（网络操作与安全）— 肯尼索州立大学（预计 2026 年 12 月毕业） Google 网络安全证书 | CompTIA 网络+（学习中）

标签：dev383581, DLP 泄密, Home Lab, ITSM, IT运维, IT 运营管理, PDI, Ruby, ServiceNow, ServiceNow PDI, SLA管理, Socks5代理, 事件管理, 企业IT, 分配组, 变更管理, 子域枚举, 安全事件, 工单处理, 平台分析, 恶意软件 containment, 暴力破解响应, 案例研究, 知识库, 问题管理, 项目实战