Rufen Sie einen Prozess-Dump für einen angereicherten Prozess in Windows auf

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Ein Sicherheitsanalyst kann einen Prozess-Dump für einen bestimmten Prozess ausführen, in einer Datei ablegen und an einer freigegebenen Website in einem internen Netzwerk veröffentlichen. Ein Analysten kann dann einen Prozess mit Ablehnungsliste anzeigen, der in einem Security Incident rot hervorgehoben wird, und zusätzliche Analysen durchführen.

    Vorbereitungen

    Folgendes ist erforderlich:
    • Ein Client, auf dem Windows Vista oder höher ausgeführt wird, oder ein Server, auf dem Windows Server 2008 oder höher ausgeführt wird.
    • Das Befehlszeilendienstprogramm ProcDump ist installiert, mit einer Systemumgebungsvariable, die auf den Pfad der ausführbaren Datei procdump verweist. Der Name der Variablen muss „PROCDUMP“ sein. Dieser Name wird in einem powershell-Skript verwendet.
    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren Sie zum Security Incident mit dem angereicherten Prozess, für den Sie einen procdump aufrufen möchten, indem Sie auf klicken Alle > Security Incident > Offene Incidents anzeigen, Und öffnen Sie einen Security Incident.
    2. Klicken Sie auf Ergänzungsdaten Registerkarte.
    3. Klicken Sie auf Ruft Laufende Prozesse Ab Ergänzungsdatensatz.
    4. Aktivieren Sie die Kontrollkästchen für die laufenden Prozesse, für die Sie einen Procdump ausführen möchten, klicken Sie unten in der Liste auf die Dropdown-Liste Aktionen für ausgewählte Zeilen, und klicken Sie auf Procdump Ausführen .
      Ein Prodump-Workflow für den ausgewählten Prozess initiiert Nachricht wird oben in der Liste und angezeigt Antwort auf Security Incidents: Procdump ausführen Workflow-Ausführungen.