자격 증명 스니핑 플레이북 사용

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 1분

    • 이 플레이북을 사용하여 ServiceNow 인스턴스의 테이블을 sys_installation_exit 통해 수행되는 자격 증명 스니핑 활동과 관련된 인시던트를 조사합니다. 다음 단계에서는 자격 증명 스니핑 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 다음 경보 상세 정보를 검토합니다.
      • 인스턴스
      • 세션 ID
      • 거래 ID
      • _raw: 전체 스크립트를 제공합니다.
        예시 스크립트: 
        Var pass= request.getParameter(“user_password”);
Gs.log(pass);
    2. 작업 2에서는 지금까지 수집된 데이터를 기반으로 이 경보에 최종 사용자 티켓이 필요한지 여부를 확인합니다.
    3. 작업 3에서 경보에 최종 사용자 티켓이 필요하지 않은 경우 작업 4에서 지금까지의 결과를 문서화합니다.
      플로우가 종료됩니다.
      그림 1. 자격 증명 스니핑 플레이북
      이 경보가 자격 증명 스니핑의 가능한 케이스인지 조사할 응답 작업
    4. 작업 5에서 경보에 최종 사용자 티켓이 필요한 경우 다음 단계를 수행합니다.
      1. 작업 6에서는 최종 사용자에게 경보에 최종 사용자 티켓이 필요하다고 알립니다.
      2. 작업 7에서는 지난 며칠 동안의 사용자 응답과 사용자 세션을 기반으로 추가로 조사합니다.
      3. 작업 8에서는 사용자를 잠그고 읽었을 수 있는 사용자의 암호를 감지하는 것과 같은 인스턴스에 대한 정정 단계에 대해 동료와 상의합니다.
      4. 작업 9에서 인시던트 또는 티켓을 제기하여 손상된 사용자 자격 증명을 재설정합니다.
      5. 작업 10에서는 격리를 해제하고 시스템을 운영 표준으로 되돌립니다.
        플로우가 종료됩니다.
    5. 작업 11에서 사후 인시던트 검토를 완료한 후 작업을 종결합니다.