Ce playbook fournit des étapes de remédiation du système pour enquêter sur un incident impliquant des activités de reniflage d’informations d’identification effectuées via la sys_installation_exit table dans une instance ServiceNow.

Le playbook Credential Sniffing fournit un champ de script pour traiter les connexions de base de données (DB), Single Sign-on (SSO) et LDAP (Lightweight Directory Access Protocol) à l’aide des enregistrements de la sys_installation_exit table. Ces champs de scripting privilégiés permettent d’écouter les demandes utilisateur et les paramètres des instances pendant la connexion, y compris les informations d’identification de l’utilisateur telles que le nom d’utilisateur et le mot de passe.

Un utilisateur malveillant peut créer un script pour écouter les demandes de l’utilisateur et consigner ces demandes sur l’instance. La sys_installation_exit table d’une instance définit les règles de traitement des activités de connexion et de déconnexion de tous les utilisateurs de cette instance.