Use este playbook para investigar um incidente que envolve atividades de detecção de credenciais realizadas por meio da tabela sys_installation_exit em uma instância da ServiceNow. As etapas a seguir fornecem instruções passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook de detecção de credenciais.
Antes de Iniciar
Função necessária:
sn_si.admin
flow_designer
Procedimento
Quando o playbook for acionado e começar a ser executado, na Ação 1, revise os detalhes do alerta a seguir.
Instância
ID da sessão
ID da transação
_raw: fornece o script inteiro.
Script de exemplo:
Var pass= request.getParameter(“user_password”);
Gs.log(pass);
Na Ação 2, com base nos dados coletados até o momento, verifique se um tíquete de usuário final é necessário para este alerta ou não.
Na Ação 3, se o alerta não exigir um tíquete de usuário final, na Ação 4, documente as descobertas até o momento.
O fluxo termina.
Figura 1. Playbook de detecção de credenciais
Na Ação 5, se o alerta exigir um tíquete de usuário final, execute as seguintes etapas:
Na Ação 6, informe ao usuário final que o alerta requer um tíquete de usuário final.
Na Ação 7, investigue mais com base na resposta do usuário e nas sessões do usuário durante os últimos dias.
Na Ação 8, discuta com colegas sobre as etapas de correção da instância, como bloquear o usuário e detectar quais senhas de usuário podem ter sido lidas.
Na Ação 9, gere um incidente ou tíquete para redefinir as credenciais do usuário comprometido.
Na Ação 10, remova a contenção e restaure os sistemas aos padrões operacionais
O fluxo termina.
Na Ação 11, conclua a revisão pós-incidente antes de fechar a tarefa.