Use este playbook para investigar um incidente que envolve atividades de detecção de credenciais realizadas por meio do sys_installation_exitTabela em uma instância da ServiceNow. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook de sniffing de credenciais.
Antes de Iniciar
Função necessária:
sn_si.admin
flow_designer
Procedimento
Quando o playbook é acionado e começa a ser executado, na Ação 1, revise os detalhes do alerta a seguir.
Instância
ID da sessão
ID de Transação
_Raw: Fornece o script inteiro.
Script de exemplo:
Var pass= request.getParameter(“user_password”);
Gs.log(pass);
Na Ação 2, com base nos dados coletados até o momento, verifique se um tíquete de usuário final é necessário ou não para este alerta.
Na Ação 3, se o alerta não exigir um tíquete de usuário final, na Ação 4, documente as descobertas até o momento.
O fluxo termina.
Figura 1. Playbook de detecção de credenciais
Na Ação 5, se o alerta exigir um tíquete de usuário final, execute as seguintes etapas:
Em Ação 6, informe ao usuário final que o alerta requer um tíquete de usuário final.
Na Ação 7, investigue mais detalhadamente com base na resposta do usuário e nas sessões do usuário durante os últimos dois dias.
Na Ação 8, converse com colegas sobre as etapas de correção da instância, como bloquear o usuário e detectar quais senhas do usuário podem ter sido lidas.
Em Ação 9, gere um incidente ou tíquete para redefinir as credenciais do usuário comprometido.
Na Ação 10, levante a contenção e traga os sistemas de volta aos padrões operacionais
O fluxo termina.
Em Ação 11, conclua a revisão pós-incidente antes de fechar a tarefa.