Windows에서 보강된 프로세스에 대한 프로세스 덤프 호출

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • 보안 분석가는 특정 프로세스에서 프로세스 덤프를 실행하고 파일로 덤프한 다음 내부 네트워크의 공유 사이트에 게시할 수 있습니다. 그런 다음 분석가는 보안 인시던트에서 빨간색으로 강조 표시된 거부 목록에 나열된 프로세스를 보고 추가 분석을 수행할 수 있습니다.

    시작하기 전에

    다음이 필요합니다.
    • Windows Vista 이상을 실행하는 클라이언트 또는 Windows Server 2008 이상을 실행하는 서버.
    • procdump 실행 파일 경로를 가리키는 시스템 환경 변수와 함께 ProcDump 명령줄 유틸리티가 설치됩니다. 변수의 이름은 PROCDUMP여야 합니다. 이 이름은 powershell 스크립트에 사용됩니다.
    필요한 역할: sn_si.analyst

    프로시저

    1. 를 클릭하여 procdump를 호출할 보강된 프로세스가 있는 보안 인시던트로 이동합니다. 모두 > 보안 인시던트 > 열린 인시던트 표시, 보안 인시던트를 엽니다.
    2. Enrichment Data 탭을 클릭합니다.
    3. 실행 중인 프로세스 보강 검색 기록을 클릭합니다.
    4. procdump를 수행하려는 실행 중인 프로세스의 확인란을 선택하고 목록 맨 아래에 있는 선택한 행에 대한 작업 드롭다운 목록을 클릭한 다음 Run Procdump를 클릭합니다.
      선택한 프로세스에 대해 시작된 prodump 워크플로우 메시지가 목록 맨 위에 나타나고 보안 인시던트 응답 - procdump 실행 워크플로우가 실행됩니다.