procdump 작업 실행
procdump 실행 은 선택한 프로세스에서 procdump를 실행하고, 데이터를 파일로 덤프하고, 내부 네트워크의 공유 사이트에 게시하는 powershell 활동입니다. 그런 다음 분석가는 보안 인시던트에서 빨간색으로 강조 표시된 거부 목록 프로세스를 보고 파일에 대한 추가 분석을 수행할 수 있습니다.
결과
이 활동의 가능한 결과는 다음과 같습니다.
| 결과 | 설명 |
|---|---|
| 성공 | process_name에서 procdump가 성공적으로 실행되었으며 자세한 내용은 activityOutput.response에서 확인할 수 있습니다. |
| 실패 | process_name에서 procdump를 실행하지 못했으며 자세한 내용은 activityOutput.response에서 확인할 수 있습니다. |
입력 변수
입력 변수는 요청된 출력을 생성하는 데 사용됩니다.
| 변수 | 설명 |
|---|---|
| targetId | [필수] procdump를 실행할 대상 ID입니다. |
| process_name | [필수] procdump의 프로세스 이름입니다. |
| dump_path | [필수] 생성된 덤프 파일이 저장될 로컬 파일 경로입니다. |
| dump_filename | [필수] procdump에 의해 생성된 파일의 이름입니다. 모든 특수 문자는 파일이 생성될 때 덤프 파일 이름의 하이픈(-)으로 바뀝니다. |
| file_share_path | [필수] 덤프 파일을 복사할 파일 공유 경로입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| share_path | 덤프 파일이 복사된 파일 공유 경로입니다. |
| 응답 | procdump 결과의 JSON 표현입니다. |
| 결과 | procdump의 결과입니다. |