Procdump ausführen Aktion
Procdump ausführen Ist eine powershell-Aktion, die den procdump für die ausgewählten Prozesse ausführt, die Daten in eine Datei ausgibt und sie an einer freigegebenen Website in einem internen Netzwerk postet. Ein Analyst kann dann einen Prozess mit der Ablehnungsliste anzeigen, der in einem Security Incident rot hervorgehoben wird, und zusätzliche Analysen für die Datei durchführen.
Ergebnisse
Mögliche Ergebnisse für diese Aktion:
| Ergebnis | Beschreibung |
|---|---|
| Erfolg | Der procdump wurde erfolgreich für Process_Name ausgeführt, und die Details sind in actionOutput.response verfügbar. |
| Fehler | Der procdump konnte für Process_Name nicht ausgeführt werden, und die Details sind in actionOutput.response verfügbar. |
Eingabevariablen
Eingabevariablen werden zum Erstellen der angeforderten Ausgaben verwendet.
| Variable | Beschreibung |
|---|---|
| targetId | [Obligatorisch] die Ziel-ID, für die der procdump ausgeführt werden soll. |
| process_name | [Obligatorisch] der Prozessname für den procdump. |
| Dump_path | [Obligatorisch] der lokale Dateipfad, in dem die generierte Dumpdatei gespeichert wird. |
| Dump_filename | [Obligatorisch] der Dateiname der vom procdump generierten Datei. Alle Sonderzeichen werden durch Bindestriche (-) aus dem Namen der Dump-Datei ersetzt, wenn die Datei generiert wird. |
| File_share_path | [Obligatorisch] der Dateifreigabepfad, in den die Dump-Datei kopiert wird. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Freigabepfad | Der Dateifreigabepfad, in den die Dumpdatei kopiert wurde. |
| response | Eine JSON-Darstellung des Ergebnisses des procdump. |
| Ergebnis | Das Ergebnis des procdump. |