Der Workflow procdump ausführen führt einen Prozess-Dump für einen angegebenen Prozess aus und speichert ihn in einer Datei, die von Sicherheitsanalysten als Ziel verwendet werden kann.

Warum und wann dieser Vorgang ausgeführt wird

Dieser Workflow wird ausgelöst, wenn angereicherte Prozesse ausgewählt werden und eine UI-Aktion procdump ausführen ausgeführt wird.

Workflow-Prozessaktivitäten umfassen:

• Skript ausführen (Audit-Protokollanreicherung): Führt ein Skript aus, um dem Security Incident ein Audit-Protokoll hinzuzufügen.
• Führen Sie die Produktdump-Aktivität aus
• Skript ausführen (Erfolg – SI-Arbeitsnotiz hinzufügen): Führt ein Skript aus, um eine Arbeitsnotiz hinzuzufügen, wenn der Procdump erfolgreich ist.
• Skript ausführen (Fehlgeschlagen – SI-Arbeitsnotiz hinzufügen): Führt ein Skript aus, um eine Arbeitsnotiz hinzuzufügen, wenn der Procdump fehlschlägt. Gründe für das Fehlschlagen des Produktdump:
  • Ungültiger Dump-Pfad
  • Ungültiger Dateifreigabepfad
  • Der vollständig qualifizierte Domänenname des Windows-Computers, auf dem der Produktdump ausgeführt wird, kann nicht abgerufen werden
  • Der Prozessname ist nicht angegeben
  • Die PROCDUMP-Umgebungsvariable wurde nicht gefunden
  • Eine Kopie der Dump-Datei kann nicht vom Dump-Pfad in den Dateifreigabepfad kopiert werden