Ce playbook fournit des étapes de rattrapage du système pour enquêter sur un incident impliquant des activités de reniflage d’informations d’identification effectuées via la sys_installation_exit table dans une instance ServiceNow.

Le playbook de reniflage des informations d’identification fournit un champ de script pour traiter les connexions à la base de données (DB), l’authentification unique (SSO) et le LDAP (Lightweight Directory Access Protocol) à l’aide des enregistrements de la sys_installation_exit table. Ces champs de script privilégiés permettent d’écouter les demandes et les paramètres de l’utilisateur sur les instances pendant la connexion, y compris les informations d’identification de l’utilisateur telles que le nom d’utilisateur et le mot de passe.

Un utilisateur malveillant peut créer un script pour écouter les demandes de l’utilisateur et enregistrer ces demandes sur l’instance. La sys_installation_exit table d’une instance définit les règles de traitement des activités de connexion et de déconnexion de tous les utilisateurs de cette instance.