Este playbook fornece etapas de correção do sistema para investigar um incidente que envolve atividades de detecção de credenciais realizadas por meio da tabela sys_installation_exit em uma instância da ServiceNow.

O playbook de detecção de credenciais fornece um campo de script para processar os logins do banco de dados (DB), Single Sign-on (SSO) e LDAP (Lightweight Directory Access Protocol) usando os registros na tabela sys_installation_exit. Esses campos de script privilegiados permitem ouvir solicitações e parâmetros do usuário para as instâncias durante o login, incluindo credenciais do usuário, como nome de usuário e senha.

Um usuário mal-intencionado pode criar um script para ouvir as solicitações do usuário e registrar essas solicitações na instância. A tabela sys_installation_exit em uma instância define as regras de processamento das atividades de login e logout de todos os usuários nessa instância.