[Procdump を実行] アクティビティ
[Procdump を実行] は、選択したプロセスで procdump を実行し、データをファイルにダンプして、内部ネットワーク上の共有サイトに投稿する PowerShell アクティビティです。アナリストは、セキュリティインシデントで赤くハイライト表示された、拒否リストに載っているプロセスを表示して、ファイルで追加の分析を実行できます。
結果
このアクティビティの考えられる結果は次のとおりです。
| 結果 | 説明 |
|---|---|
| 成功 | procdump が process_name で正常に実行されました。詳細は activityOutput.response で確認できます。 |
| 失敗 | procdump が process_name で実行に失敗しました。詳細は activityOutput.response で確認できます。 |
入力変数
入力変数は、要求された出力を作成するために使用されます。
| 変数 | 説明 |
|---|---|
| targetId | [必須] procdump を実行するターゲット ID |
| process_name | [必須] procdump のプロセス名 |
| dump_path | [必須] 生成されるダンプファイルの保存先のローカルファイルパス |
| dump_filename | [必須] procdump によって生成されるファイルのファイル名。ダンプファイル名に含まれるすべての特殊文字は、ファイルの生成時にハイフン (-) で置き換えられます。 |
| file_share_path | [必須] ダンプファイルのコピー先のファイル共有パス |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| share_path | [必須] ダンプファイルのコピー先のファイル共有パス |
| response | procdump の結果の JSON 表現 |
| result | procdump の結果 |