Utiliser le playbook de reniflage d’informations d’identification

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur un incident impliquant des activités de reniflage d’informations d’identification effectuées via la sys_installation_exit table dans une instance ServiceNow. Les étapes suivantes vous fournissent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Credential Sniffing (Reniflage des informations d’identification).

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, examinez les détails d’alerte suivants.
      • Instance
      • ID de session
      • ID de transaction
      • _raw : fournit l’intégralité du script.
        Exemple de script : 
        Var pass= request.getParameter(“user_password”);
Gs.log(pass);
    2. Dans l’action 2, sur la base des données collectées jusqu’à présent, vérifiez si un ticket de l’utilisateur final est requis pour cette alerte ou non.
    3. Dans l’action 3, si l’alerte ne nécessite pas de ticket de l’utilisateur final, dans l’action 4, documentez les résultats obtenus jusqu’à présent.
      Le flux s’arrête.
      Figure 1. Playbook de reniflage d’informations d’identification
      Tâches de réponse à examiner pour déterminer si cette alerte est un cas possible de reniflage d’informations d’identification
    4. Dans l’action 5, si l’alerte nécessite un ticket d’utilisateur final, procédez comme suit :
      1. Dans l’action 6, informez l’utilisateur final que l’alerte nécessite un ticket d’utilisateur final.
      2. Dans l’action 7, examinez plus en détail en fonction de la réponse de l’utilisateur et des sessions de l’utilisateur au cours des deux derniers jours.
      3. Dans l’action 8, discutez avec vos pairs des étapes de rattrapage pour l’instance, telles que le verrouillage de l’utilisateur et la détection des mots de passe de l’utilisateur qui ont pu être lus.
      4. Dans l’action 9, soulevez un incident ou un ticket pour réinitialiser les informations d’identification de l’utilisateur compromis.
      5. Dans l’action 10, lever le confinement et ramener les systèmes aux normes opérationnelles
        Le flux s’arrête.
    5. Dans l’action 11, terminez la revue post-incident avant de fermer la tâche.