Führen Sie die Produktdump-Aktivität aus
„Procdump ausführen“ ist eine PowerShell-Aktivität, die den Procdump für die ausgewählten Prozesse ausführt, die Daten in eine Datei speichert und sie an eine freigegebene Site in einem internen Netzwerk sendet. Ein Analyst kann dann einen Deny-Listen-Prozess anzeigen, der in einem Security Incident rot hervorgehoben ist, und zusätzliche Analysen für die Datei durchführen.
Ergebnisse
Mögliche Ergebnisse für diese Aktivität sind:
| Ergebnis | Beschreibung |
|---|---|
| Erfolg | Der procdump wurde erfolgreich für process_name ausgeführt, und die Details sind in activityOutput.response verfügbar. |
| Fehler | Der procdump konnte für „process_name“ nicht ausgeführt werden, und die Details sind in activityOutput.response verfügbar. |
Eingabevariablen
Eingabevariablen werden verwendet, um die angeforderten Ausgaben zu erstellen.
| Variable | Beschreibung |
|---|---|
| targetId | [Obligatorisch] Die Ziel-ID, auf der der Produktdump ausgeführt werden soll. |
| process_name | [Obligatorisch] Der Prozessname für den Produktdump. |
| dump_path | [Obligatorisch] Der lokale Dateipfad, in dem die generierte Dump-Datei gespeichert wird. |
| dump_filename | [Obligatorisch] Der Dateiname der vom Procdummp generierten Datei. Alle Sonderzeichen werden beim Generieren der Datei durch Bindestriche (-) aus dem Namen der Dump-Datei ersetzt. |
| file_share_path | [Obligatorisch] Der Dateifreigabepfad, in den die Dump-Datei kopiert wird. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Share_path | Der Dateifreigabepfad, in den die Dump-Datei kopiert wurde. |
| response | Eine JSON-Darstellung des Ergebnisses des Produktdumps. |
| Ergebnis | Das Ergebnis des Produktdumps. |