Exécuter l’action procdump
Exécuter procdump est une action Powershell qui exécute le procdump sur les processus sélectionnés, vide les données dans un fichier et les publie sur un site partagé sur un réseau interne. Un analyste peut alors afficher un processus sur liste de refus, surligné en rouge dans un incident de sécurité, et effectuer une analyse supplémentaire du fichier.
Résultats
Les résultats possibles pour cette action sont les suivants :
| Résultat | Description |
|---|---|
| Réussite | Le procdump a été exécuté avec succès sur la process_name et les détails sont disponibles dans actionOutput.response. |
| Échec | Échec de l’exécution du procdump sur le process_name et les détails sont disponibles dans actionOutput.response. |
Variables d'entrée
Les variables d’entrée sont utilisées pour créer les sorties demandées.
| Variable | Description |
|---|---|
| targetId | [Obligatoire] ID cible sur lequel exécuter le procdump. |
| process_name | [Obligatoire] Nom du processus pour le procdump. |
| dump_path | [Obligatoire] Chemin d’accès au fichier local dans lequel le fichier dump généré sera enregistré. |
| dump_filename | [Obligatoire] Nom de fichier du fichier généré par le procdump. Tous les caractères spéciaux seront remplacés par des traits d’union (-) du nom du fichier dump lors de la génération du fichier. |
| file_share_path | [Obligatoire] Chemin d’accès du partage de fichier vers lequel le fichier dump sera copié. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes.
| Variable | Description |
|---|---|
| share_path | Chemin d’accès du partage de fichier vers lequel le fichier dump a été copié. |
| réponse | Représentation JSON du résultat du procdump. |
| résultat | Résultat du procdump. |