認証情報スニッフィングプレイブックを使用する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:1分

    • このプレイブックを使用して、ServiceNow インスタンスの sys_installation_exit テーブルを介して実行される認証情報スニッフィングアクティビティに関連するインシデントを調査します。以下に示すステップは、認証情報スニッフィングプレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 で、次のアラートの詳細を確認します。
      • インスタンス
      • セッション ID
      • トランザクション ID
      • _raw:スクリプト全体を提供します。
        スクリプト例: 
        Var pass= request.getParameter(“user_password”);
Gs.log(pass);
    2. アクション 2 では、これまでに収集されたデータに基づいて、このアラートにエンドユーザーチケットが必要かどうかを確認します。
    3. アクション 3 では、アラートがエンドユーザーチケットを必要としない場合に、アクション 4 で、これまでの結果を文書化します。
      フローが終了します。
      図 : 1. 認証情報スニッフィングプレイブック
      このアラートが認証情報スニッフィングの可能性のあるケースであるかどうかを調査するための応答タスク
    4. アクション 5 では、アラートにエンドユーザーチケットが必要な場合に、次の手順を実行します。
      1. アクション 6 では、アラートにエンドユーザーチケットが必要であることをエンドユーザーに通知します。
      2. アクション 7 では、過去数日間のユーザーの応答とユーザーのセッションに基づいて、さらに調査します。
      3. アクション 8 では、ユーザーのロックアウトや、どのユーザーのパスワードが読み取られた可能性があるかの検出など、インスタンスの修復手順について同僚と話し合います。
      4. アクション 9 では、インシデントまたはチケットを生成して、侵害されたユーザーの認証情報をリセットします。
      5. アクション 10 では、封じ込めを解除し、システムを運用標準に戻します。
        フローが終了します。
    5. アクション 11 では、タスクをクローズする前にインシデントの事後レビューを完了します。