Este playbook fornece etapas de correção do sistema para investigar um incidente que envolve atividades de detecção de credenciais realizadas por meio do sys_installation_exitTabela em uma instância da ServiceNow.

O playbook de sniffing de credenciais fornece um campo de script para processar os logins do banco de dados (DB), Single Sign-on (SSO) e LDAP (Lightweight Directory Access Protocol) usando os registros no sys_installation_exittabela. Esses campos de script privilegiados permitem ouvir solicitações e parâmetros do usuário para as instâncias durante o login, incluindo credenciais do usuário, como nome de usuário e senha.

Um usuário mal-intencionado pode criar um script para ouvir as solicitações do usuário e registrar essas solicitações na instância. . sys_installation_exita tabela em uma instância define as regras de processamento das atividades de login e logout de todos os usuários nessa instância.