이 플레이북은 ServiceNow 인스턴스의 테이블을 sys_installation_exit 통해 수행된 자격 증명 스니핑 활동과 관련된 인시던트를 조사하기 위한 시스템 정정 단계를 제공합니다.

자격 증명 스니핑 플레이북은 테이블의 기록을 사용하여 데이터베이스(DB) 로그인, 1회 사용자 인증(SSO) 및 LDAP(Lightweight Directory Access Protocol)를 처리하는 스크립트 필드를 sys_installation_exit 제공합니다. 이러한 권한 있는 스크립팅 필드를 사용하면 로그인 중에 사용자 이름 및 암호와 같은 사용자 자격 증명을 포함하여 인스턴스에 대한 사용자 요청 및 매개변수를 수신할 수 있습니다.

악의적인 사용자는 사용자 요청을 수신하고 이러한 요청을 인스턴스에 기록하는 스크립트를 만들 수 있습니다. 인스턴스의 테이블은 sys_installation_exit 해당 인스턴스에서 모든 사용자의 로그인 및 로그아웃 활동을 처리하는 규칙을 정의합니다.