このプレイブックでは、ServiceNow インスタンスの sys_installation_exit テーブルを介して実行される認証情報スニッフィングアクティビティに関連するインシデントを調査するための、システム修復手順について説明します。

認証情報スニッフィングプレイブックには、sys_installation_exit テーブルのレコードを使用してデータベース (DB) ログイン、シングルサインオン (SSO)、LDAP (ライトウェイトディレクトリアクセスプロトコル) を処理するためのスクリプトフィールドがあります。これらの特権スクリプトフィールドを使用すると、ログイン中にインスタンスに対するユーザー要求とパラメーター (ユーザー名とパスワードといったユーザー認証情報など) をリッスンできます。

悪意のあるユーザーがユーザー要求をリッスンし、これらの要求をインスタンスに記録するスクリプトを作成する可能性があります。インスタンスの sys_installation_exit テーブルは、そのインスタンス上のすべてのユーザーのログイン/ログアウトアクティビティを処理するルールを定義します。