Exécuter l’activité procdump
Exécuter procdump est une activité PowerShell qui exécute le procdump sur les processus sélectionnés, vide les données dans un fichier et le publie sur un site partagé sur un réseau interne. Un analyste peut ensuite afficher un processus répertorié pour un refus, mis en évidence en rouge dans un incident de sécurité, et effectuer une analyse supplémentaire du fichier.
Résultats
Les résultats possibles pour cette activité sont les suivants :
| Résultat | Description |
|---|---|
| Succès | Le procdump s’est exécuté avec succès sur le process_name, et les détails sont disponibles dans activityOutput.response. |
| Échec | Le procdump n’a pas pu s’exécuter sur le process_name, et les détails sont disponibles dans activityOutput.response. |
Variables d'entrée
Les variables d’entrée sont utilisées pour créer les sorties demandées.
| Variable | Description |
|---|---|
| targetId | [Obligatoire] ID cible sur lequel exécuter le procdump. |
| process_name | [Obligatoire] Nom du processus pour le procdump. |
| dump_path | [Obligatoire] Chemin d’accès du fichier local dans lequel le fichier de vidage généré sera enregistré. |
| dump_filename | [Obligatoire] Nom de fichier du fichier généré par le procdump. Tous les caractères spéciaux seront remplacés par des traits d’union (-) dans le nom du fichier dump lors de la génération du fichier. |
| file_share_path | [Obligatoire] Chemin d’accès du partage de fichiers vers lequel le fichier de vidage sera copié. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| share_path | Chemin d’accès du partage de fichiers vers lequel le fichier de vidage a été copié. |
| réponse | Représentation JSON du résultat du procdump. |
| résultat | Résultat du procdump. |