Use este playbook para investigar um incidente envolvendo atividades de detecção de credenciais realizadas por meio do sys_installation_exitEm uma instância da ServiceNow. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos disponíveis no playbook de sniffing de credenciais.
Antes de Iniciar
Função necessária:
sn_si.admin
flow_designer
Procedimento
Quando o playbook for acionado e começar a ser executado, na Ação 1, revise os seguintes detalhes do alerta.
Instância
ID da sessão
ID de transação
_Raw: Fornece o script inteiro.
Script de exemplo:
Var pass= request.getParameter(“user_password”);
Gs.log(pass);
Na Ação 2, com base nos dados coletados até o momento, verifique se um tíquete de usuário final é necessário ou não para este alerta.
Na Ação 3, se o alerta não exigir um tíquete de usuário final, na Ação 4, documente as descobertas até o momento.
O fluxo termina.
Figura 1. Playbook de detecção de credenciais
Na Ação 5, se o alerta exigir um tíquete de usuário final, execute as seguintes etapas:
Em Ação 6, informe ao usuário final que o alerta requer um tíquete de usuário final.
Na Ação 7, investigue mais detalhadamente com base na resposta do usuário e nas sessões do usuário durante os últimos dias.
Na Ação 8, discuta com colegas sobre as etapas de correção da instância, como bloquear o usuário e detectar quais senhas do usuário podem ter sido lidas.
Na Ação 9, gere um incidente ou tíquete para redefinir as credenciais do usuário comprometido.
Na Ação 10, levante a contenção e traga os sistemas de volta aos padrões operacionais
O fluxo termina.
Em Ação 11, conclua a revisão pós-incidente antes de encerrar a tarefa.