Le workflow Exécuter procdump exécute un vidage de processus sur un processus spécifié et l’enregistre dans un fichier qui peut être ciblé par les analystes de sécurité.

Pourquoi et quand exécuter cette tâche

Ce workflow est déclenché lorsque des processus enrichis sont sélectionnés et qu’une action d’interface utilisateur Exécuter procdump est exécutée.

Les activités de processus du workflow comprennent :

• Exécuter le script (enrichissement du journal d’audit) : exécute un script pour ajouter un journal d’audit à l’incident de sécurité.
• Exécuter l’activité procdump
• Exécuter le script (Réussite : ajouter une note de travail SI) : exécute un script pour ajouter une note de travail lorsque le procdump réussit.
• Exécuter le script (Échec – Ajouter une note de travail SI) : exécute un script pour ajouter une note de travail lorsque le procdump échoue. Les raisons pour lesquelles le procdump peut échouer sont les suivantes :
  • Chemin de vidage non valide
  • Chemin d’accès du partage de fichier non valide
  • Impossible d’extraire le nom de domaine complet de l’ordinateur Windows sur lequel le procdump s’exécute
  • Le nom du processus n’est pas spécifié
  • La variable d’environnement PROCDUMP est introuvable
  • Échec de la copie d’une copie du fichier dump à partir du chemin de vidage vers le chemin d’accès du partage de fichiers