Invoquer un vidage de processus pour un processus enrichi dans Windows

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Un analyste de la sécurité peut exécuter un vidage de processus sur un processus spécifique, le vider dans un fichier et le publier sur un site partagé sur un réseau interne. Un analyste peut ensuite afficher un processus sur liste de refus, surligné en rouge dans un incident de sécurité, et effectuer une analyse supplémentaire.

    Avant de commencer

    Les éléments suivants sont requis :
    • Un client exécutant Windows Vista ou une version ultérieure, ou un serveur exécutant Windows Server 2008 ou une version ultérieure.
    • L’utilitaire de ligne de commande ProcDump installé, avec une variable d’environnement système qui pointe vers le chemin d’accès au fichier exécutable procdump. Le nom de la variable doit être PROCDUMP. Ce nom est utilisé dans un script PowerShell.
    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à l’incident de sécurité avec le processus enrichi sur lequel vous souhaitez invoquer un procdump en cliquant sur Tout > Incident de sécurité > Afficher les incidents ouvertset ouvrez un incident de sécurité.
    2. Cliquez sur l’onglet Données d’enrichissement .
    3. Cliquez sur l’enregistrement d’enrichissement Récupérer les processus en cours d’exécution .
    4. Cochez les cases correspondant aux processus en cours pour lesquels vous souhaitez effectuer un procdump, cliquez sur la liste déroulante Actions sur les lignes sélectionnées en bas de la liste, puis cliquez sur Exécuter le procdump.
      Un workflow de prodump initié pour le message du processus sélectionné apparaît en haut de la liste et le workflow Réponse aux incidents de sécurité - Exécuter le procdump s’exécute.