Führen Sie die Procdump-Aktivität aus
„Procdump ausführen“ ist eine PowerShell-Aktivität, die den Procdump für die ausgewählten Prozesse ausführt, die Daten in eine Datei speichert und sie an eine freigegebene Site in einem internen Netzwerk sendet. Ein Analyst kann dann einen Prozess auf der Deny-Liste anzeigen, der in einem Security Incident rot hervorgehoben ist, und zusätzliche Analysen an der Datei durchführen.
Ergebnisse
Mögliche Ergebnisse für diese Aktivität sind:
| Ergebnis | Beschreibung |
|---|---|
| Erfolg | Der procdump wurde erfolgreich für „process_name“ ausgeführt, und die Details sind in „activityOutput.response“ verfügbar. |
| Fehler | Der procdump konnte für „process_name“ nicht ausgeführt werden. Die Details sind in „activityOutput.response“ verfügbar. |
Eingabevariablen
Eingabevariablen werden verwendet, um die angeforderten Ausgaben zu erstellen.
| Variable | Beschreibung |
|---|---|
| targetId | [Obligatorisch] Die Ziel-ID, für die der Procdump ausgeführt werden soll. |
| process_name | [Obligatorisch] Der Prozessname für den Procdump. |
| „dump_path“ | [Obligatorisch] Der lokale Dateipfad, in dem die generierte Dump-Datei gespeichert wird. |
| „dump_filename“ | [Obligatorisch] Der Dateiname der vom Procdump generierten Datei. Alle Sonderzeichen werden durch Bindestriche (-) aus dem Namen der Dump-Datei ersetzt, wenn die Datei generiert wird. |
| Dateifreigabepfad | [Obligatorisch] Der Dateifreigabepfad, in den die Dump-Datei kopiert wird. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Share_path | Der Dateifreigabepfad, in den die Sicherungsdatei kopiert wurde. |
| Antwort | Eine JSON-Darstellung des Ergebnisses des Procdumps. |
| Ergebnis | Das Ergebnis des procdump. |