Ce playbook fournit des étapes de rattrapage du système pour enquêter sur un incident impliquant des activités de reniflage d’informations d’identification effectuées via la table d’une sys_installation_exit instance ServiceNow.

Le playbook de reniflage d’informations d’identification fournit un champ de script pour traiter les connexions à la base de données (base de données), l’authentification unique (SSO) et LDAP (protocole LDAP (Lightweight Directory Access Protocol) à l’aide des enregistrements de la sys_installation_exit table. Ces champs de scripting privilégiés permettent d’écouter les demandes utilisateur et les paramètres des instances pendant la connexion, y compris les informations d’identification de l’utilisateur telles que le nom d’utilisateur et le mot de passe.

Un utilisateur malveillant peut créer un script pour écouter les demandes de l’utilisateur et les consigner sur l’instance. La sys_installation_exit table sur une instance définit les règles de traitement des activités de connexion et de déconnexion de tous les utilisateurs de cette instance.