Verwenden Sie dieses Playbook, um einen Incident zu untersuchen, bei dem es um das Erfassen von Anmeldeinformationen geht, die über die Tabelle sys_installation_exit in einer ServiceNow-Instanz ausgeführt werden. Die folgenden Schritte geben Ihnen eine Vorstellung der Aktionen, Aufgaben und Subflows, die im Playbook zum Ausspionieren von Anmeldeinformationen verfügbar sind.
Vorbereitungen
Erforderliche Rolle:
sn_si.admin
flow_designer
Prozedur
Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, überprüfen Sie in Aktion 1 die folgenden Warnungsdetails.
Instanz
Sitzungs-ID
Transaktion-ID
_raw: Stellt das gesamte Skript bereit.
Beispielskript:
Var pass= request.getParameter(“user_password”);
Gs.log(pass);
Überprüfen Sie in Aktion 2 basierend auf den bisher erfassten Daten, ob für diese Warnung ein Endbenutzerticket erforderlich ist oder nicht.
Wenn in Aktion 3 für die Warnung kein Endbenutzerticket erforderlich ist, dokumentieren Sie in Aktion 4 die bisherigen Ergebnisse.
Der Flow endet.
Abbildung : 1. Playbook zum Ausspähen von Anmeldeinformationen
Wenn für die Warnung in Aktion 5 ein Endbenutzerticket erforderlich ist, führen Sie die folgenden Schritte aus:
Informieren Sie den Endbenutzer in Aktion 6, dass für die Warnung ein Endbenutzerticket erforderlich ist.
Untersuchen Sie in Aktion 7 basierend auf der Antwort des Benutzers und den Sitzungen des Benutzers in den letzten Tagen weitere.
Diskutieren Sie in Aktion 8 mit Kollegen über die Korrekturschritte für die Instanz, z. B. das Sperren des Benutzers und das Erkennen, ob die Passwörter des Benutzers gelesen wurden.
Lösen Sie in Aktion 9 einen Incident oder ein Ticket aus, um die gefährdeten Benutzeranmeldeinformationen zurückzusetzen.
Heben Sie in Aktion 10 die Eindämmung auf, und bringen Sie die Systeme wieder in den Betriebszustand
Der Flow endet.
Schließen Sie in Aktion 11 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.