Verwenden Sie das Playbook zum Sniffing von Anmeldeinformationen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um einen Incident zu untersuchen, bei dem Sniffing-Aktivitäten für Anmeldeinformationen über die Tabelle sys_installation_exit in einer ServiceNow-Instanz ausgeführt werden. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Sniffing von Anmeldeinformationen“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, überprüfen Sie in Aktion 1 die folgenden Warnungsdetails.
      • Instanz
      • Sitzungs-ID
      • Transaktion-ID
      • _raw: Stellt das gesamte Skript bereit.
        Beispielskript: 
        Var pass= request.getParameter(“user_password”);
Gs.log(pass);
    2. Überprüfen Sie in Aktion 2 basierend auf den bisher gesammelten Daten, ob für diese Warnung ein Endanwenderticket erforderlich ist.
    3. Wenn in Aktion 3 für die Warnung kein Endbenutzerticket erforderlich ist, dokumentieren Sie in Aktion 4 die bisherigen Ergebnisse.
      Der Flow endet.
      Abbildung : 1. Playbook zum Sniffing von Anmeldeinformationen
      Antwortaufgaben, um zu untersuchen, ob diese Warnung ein möglicher Fall von Sniffing von Anmeldeinformationen ist
    4. Wenn in Aktion 5 die Warnung ein Endbenutzerticket erfordert, führen Sie die folgenden Schritte aus:
      1. In Aktion 6 informieren Sie den Endanwender darüber, dass für die Warnung ein Endanwenderticket erforderlich ist.
      2. Untersuchen Sie in Aktion 7 basierend auf der Antwort des Anwenders und den Sitzungen des Anwenders in den letzten Tagen weiter.
      3. Diskutieren Sie in Aktion 8 mit Kollegen über die Korrekturschritte für die Instanz, z. B. das Sperren des Anwenders und das Erkennen, welche Anwenderpasswörter möglicherweise gelesen wurden.
      4. Lösen Sie in Aktion 9 einen Incident oder ein Ticket aus, um die gefährdeten Anwenderanmeldeinformationen zurückzusetzen.
      5. Heben Sie in Aktion 10 das Containment auf, und bringen Sie die Systeme wieder in den Betriebszustand
        Der Flow endet.
    5. Schließen Sie in Aktion 11 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.