Utiliser le playbook de reniflage d’informations d’identification

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur un incident impliquant des activités de reniflage d’informations d’identification effectuées via la sys_installation_exit table dans une instance ServiceNow. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Reniflage d’informations d’identification.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, examinez les détails d’alerte suivants.
      • Instance
      • ID de session
      • ID de transaction
      • _raw : fournit le script complet.
        Exemple de script : 
        Var pass= request.getParameter(“user_password”);
Gs.log(pass);
    2. Dans l’action 2, sur la base des données recueillies jusqu’à présent, vérifiez si un billet d’utilisateur final est requis pour cette alerte ou non.
    3. Dans l’action 3, si l’alerte ne nécessite pas de ticket d’utilisateur final, dans l’action 4, documentez les résultats obtenus jusqu’à présent.
      Le flux se termine.
      Figure 1. Playbook de reniflage d’informations d’identification
      Tâches de réponse pour déterminer si cette alerte est un cas possible de reniflage d’informations d’identification
    4. Dans l’action 5, si l’alerte nécessite un ticket d’utilisateur final, procédez comme suit :
      1. Dans l’action 6, informez l’utilisateur final que l’alerte nécessite un ticket d’utilisateur final.
      2. Dans l’action 7, examinez plus en détail en fonction de la réponse de l’utilisateur et des sessions de l’utilisateur au cours des deux derniers jours.
      3. Dans l’action 8, discutez avec vos pairs des étapes de rattrapage de l’instance, comme le verrouillage de l’utilisateur et la détection des mots de passe de l’utilisateur qui ont peut-être été lus.
      4. Dans l’action 9, soumettez un incident ou un ticket pour réinitialiser les informations d’identification de l’utilisateur compromis.
      5. Dans l’action 10, lever le confinement et ramener les systèmes aux normes opérationnelles
        Le flux se termine.
    5. Dans l’action 11, terminez la vérification post-incident avant de fermer la tâche.