자격 증명 스니핑 플레이북 사용

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 이 Playbook을 사용하여 ServiceNow 인스턴스의 테이블을 통해 수행된 자격 증명 스니핑 활동과 sys_installation_exit 관련된 인시던트를 조사합니다. 다음 단계에서는 자격 증명 스니핑 플레이북에서 사용할 수 있는 동작, 작업 및 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 다음 경보 상세 정보를 검토합니다.
      • 인스턴스
      • 세션 ID
      • 트랜잭션 ID
      • _raw: 전체 스크립트를 제공합니다.
        예시 스크립트: 
        Var pass= request.getParameter(“user_password”);
Gs.log(pass);
    2. 작업 2에서 지금까지 수집된 데이터를 기반으로 이 경고에 최종 사용자 티켓이 필요한지 여부를 확인합니다.
    3. 작업 3에서 경고에 최종 사용자 티켓이 필요하지 않은 경우 작업 4에서 지금까지의 결과를 문서화합니다.
      플로우가 종료됩니다.
      그림 1. 자격 증명 스니핑 플레이북
      이 경고가 자격 증명 스니핑의 가능한 사례인지 조사하기 위한 응답 작업
    4. 작업 5에서 경고에 최종 사용자 티켓이 필요한 경우 다음 단계를 수행합니다.
      1. 작업 6에서 경고에 최종 사용자 티켓이 필요하다는 것을 최종 사용자에게 알립니다.
      2. 작업 7에서는 지난 며칠 동안 사용자의 응답과 사용자의 세션을 기반으로 추가로 조사합니다.
      3. 작업 8에서는 사용자 잠금 및 읽었을 수 있는 사용자의 암호 검색과 같은 인스턴스의 수정 단계에 대해 동료와 논의합니다.
      4. 작업 9에서 인시던트 또는 티켓을 제기하여 손상된 사용자 자격 증명을 다시 설정합니다.
      5. 작업 10에서 봉쇄를 해제하고 시스템을 작동 표준으로 되돌립니다.
        플로우가 종료됩니다.
    5. 작업 11에서 작업을 종료하기 전에 사후 인시던트 검토를 완료합니다.