Rufen Sie einen Prozess-Dump für einen angereicherten Prozess in Windows auf

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Ein Sicherheitsanalyst kann einen Prozess-Dump für einen bestimmten Prozess ausführen, in eine Datei ablegen und an einer freigegebenen Website in einem internen Netzwerk veröffentlichen. Ein Analyst kann dann einen Prozess mit der Deny-Liste anzeigen, der in einem Security Incident rot hervorgehoben wird, und zusätzliche Analysen durchführen.

    Vorbereitungen

    Folgendes ist erforderlich:
    • Ein Client, auf dem Windows Vista oder höher ausgeführt wird, oder ein Server, auf dem Windows Server 2008 oder höher ausgeführt wird.
    • Das Befehlszeilendienstprogramm ProcDump wurde mit einer Systemumgebungsvariable installiert, die auf den Pfad der ausführbaren procdump-Datei verweist. Der Name der Variable muss PROCDUMP sein. Dieser Name wird in einem powershell-Skript verwendet.
    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren Sie zum Security Incident mit dem angereicherten Prozess, für den Sie einen procdump aufrufen möchten, indem Sie auf klicken Alle > Security Incident > Offene Incidents anzeigen, Und öffnen Sie einen Security Incident.
    2. Klicken Sie auf Ergänzungsdaten Registerkarte.
    3. Klicken Sie auf Laufende Prozesse Abrufen Ergänzungsdatensatz.
    4. Aktivieren Sie die Kontrollkästchen für die laufenden Prozesse, für die Sie einen Procdump ausführen möchten, klicken Sie unten in der Liste auf die Dropdown-Liste Aktionen für ausgewählte Zeilen, und klicken Sie auf Procdump Ausführen .
      Ein Prodump-Workflow für ausgewählten Prozess initiiert Die Meldung wird oben in der Liste und angezeigt Security Incident Response: Procdump ausführen Workflow-Ausführungen.