Der Workflow Procdump ausführen führt eine Prozesssicherung für einen angegebenen Prozess aus und speichert sie in einer Datei, die von Sicherheitsanalysten als Ziel ausgewählt werden kann.

Warum und wann dieser Vorgang ausgeführt wird

Dieser Workflow wird ausgelöst, wenn angereicherte Prozesse ausgewählt werden und eine UI-Aktion „Procdump ausführen“ ausgeführt wird.

Zu den Workflow-Prozessaktivitäten gehören:

• Skript ausführen (Ergänzung des Audit-Protokolls): Führt ein Skript aus, um dem Security Incident ein Audit-Protokoll hinzuzufügen.
• Führen Sie die Procdump-Aktivität aus
• Skript ausführen (Erfolg - SI-Arbeitsnotiz hinzufügen): Führt ein Skript aus, um eine Arbeitsnotiz hinzuzufügen, wenn der Procdump erfolgreich ist.
• Skript ausführen (fehlgeschlagen – SI-Arbeitsnotiz hinzufügen): Führt ein Skript aus, um eine Arbeitsnotiz hinzuzufügen, wenn der Procdump fehlschlägt. Folgende Gründe können für den Procdump-Fehler verantwortlich sein:
  • Ungültiger Dump-Pfad
  • Ungültiger Dateifreigabepfad
  • Der vollständig qualifizierte Domänenname des Windows-Computers, auf dem der Procdump ausgeführt wird, kann nicht abgerufen werden
  • Der Prozessname ist nicht angegeben
  • Die PROCDUMP-Umgebungsvariable wurde nicht gefunden
  • Eine Kopie der Dump-Datei kann nicht aus dem Dump-Pfad in den Dateifreigabepfad kopiert werden