Ce playbook fournit les étapes de rattrapage du système pour enquêter sur un incident impliquant des activités de reniflage d’informations d’identification effectuées via la sys_installation_exit table dans une instance ServiceNow.

Le playbook de reniflage d’informations d’identification fournit un champ de script pour traiter les connexions à la base de données (base de données), l’authentification unique (SSO) et LDAP (protocole LDAP (protocole LDAP) à l’aide des enregistrements de la sys_installation_exit table. Ces champs de scripting privilégiés permettent l’écoute des demandes utilisateur et des paramètres des instances pendant la connexion, y compris les informations d’identification de l’utilisateur telles que le nom d’utilisateur et le mot de passe.

Un utilisateur malveillant peut créer un script pour écouter les demandes de l’utilisateur et enregistrer ces demandes sur l’instance. La sys_installation_exit table d’une instance définit les règles de traitement des activités de connexion et de déconnexion de tous les utilisateurs sur cette instance.