Le workflow Exécuter procdump exécute un vidage de processus sur un processus spécifié et l’enregistre dans un fichier qui peut être ciblé par les analystes de sécurité.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Ce workflow est déclenché lorsque des processus enrichis sont sélectionnés et qu’une action d’interface utilisateur Exécuter le produit est exécutée. Figure 1. Exécuter procdump
Les activités de processus du workflow comprennent :
Exécuter le script (enrichissement du journal d’audit) : exécute un script pour ajouter un journal d’audit à l’incident de sécurité.
Exécuter le script (Réussite - Ajouter une note de travail SI) : exécute un script pour ajouter une note de travail lorsque le procdump aboutit.
Exécuter le script (Échec - Ajouter une note de travail SI) : exécute un script pour ajouter une note de travail en cas d’échec du processus. Les raisons pour lesquelles le procdump peut échouer sont les suivantes :
Chemin de vidage non valide
Chemin de partage de fichiers non valide
Impossible d’extraire le nom de domaine complet de l’ordinateur Windows sur lequel le procdump s’exécute
Le nom du processus n’est pas spécifié
Variable d’environnement PROCDUMP introuvable
Une copie du fichier de vidage ne parvient pas à être copiée du chemin de vidage vers le chemin d’accès du partage de fichiers
