Utiliser le playbook de reniflage d’informations d’identification

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur un incident impliquant des activités de reniflage d’informations d’identification effectuées via la sys_installation_exit table dans une instance ServiceNow. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook de reniflage d’informations d’identification.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, passez en revue les détails d’alerte suivants.
      • Instance
      • ID de session
      • ID de transaction
      • _raw : fournit le script complet.
        Exemple de script : 
        Var pass= request.getParameter(“user_password”);
Gs.log(pass);
    2. Dans l’Action 2, sur la base des données collectées jusqu’à présent, vérifiez si un ticket d’utilisateur final est nécessaire pour cette alerte ou non.
    3. Dans l’Action 3, si l’alerte ne nécessite pas de ticket d’utilisateur final, documentez les résultats obtenus dans l’Action 4.
      Le flux se termine.
      Figure 1. Playbook de reniflage d’informations d’identification
      Tâches de réponse pour déterminer si cette alerte est un cas possible de reniflage d’informations d’identification
    4. Dans l’Action 5, si l’alerte nécessite un ticket d’utilisateur final, procédez comme suit :
      1. Dans l’Action 6, informez l’utilisateur final que l’alerte nécessite un ticket d’utilisateur final.
      2. Dans l’action 7, examinez plus en détail en fonction de la réponse de l’utilisateur et des sessions de l’utilisateur au cours des deux derniers jours.
      3. Dans l’Action 8, discutez avec vos pairs des étapes de correction de l’instance, telles que le verrouillage de l’utilisateur et la détection des mots de passe de l’utilisateur ayant pu être lus.
      4. Dans l’Action 9, émettez un incident ou un ticket pour réinitialiser les informations d’identification de l’utilisateur compromis.
      5. Dans l’action 10, lever le confinement et ramener les systèmes aux normes opérationnelles
        Le flux se termine.
    5. Dans l’Action 11, terminez la revue post-incident avant de fermer la tâche.