procdump 워크플로우 실행
procdump 실행 워크플로는 지정된 프로세스에서 프로세스 덤프를 실행하고 보안 분석가가 대상으로 삼을 수 있는 파일에 저장합니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
이 워크플로는 보강된 프로세스를 선택하고 procdump UI 작업 실행을 실행할 때 트리거됩니다. 그림 1. procdump 실행
워크플로우 프로세스 활동은 다음과 같습니다.
- 스크립트 실행(감사 로그 보강): 스크립트를 실행하여 보안 인시던트에 감사 로그를 추가합니다.
- procdump 작업 실행
- 스크립트 실행(성공 - SI 작업 메모 추가): procdump가 성공할 때 스크립트를 실행하여 작업 메모를 추가합니다.
- 스크립트 실행(실패 - SI 작업 메모 추가): procdump가 실패하면 스크립트를 실행하여 작업 메모를 추가합니다. procdump가 실패할 수 있는 이유는 다음과 같습니다.
- 잘못된 덤프 경로
- 잘못된 파일 공유 경로
- procdump가 실행 중인 Windows 컴퓨터의 정규화된 domin 이름을 가져올 수 없음
- 프로세스 이름이 지정되지 않았습니다.
- PROCDUMP 환경 변수를 찾을 수 없습니다.
- 덤프 파일의 복사본이 덤프 경로에서 파일 공유 경로로 복사되지 않습니다.