Obter processos em execução por meio de atividade WMI

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • A atividade de fluxo de trabalhoObter processos em execução recupera os processos em execução de um item de configuração em um sistema baseado no Windows. Esta atividade pode acelerar o processo de investigação e correção.

    A atividade Obter processos em execução via WMI pode ser usada com qualquer fluxo de trabalho para recuperar processos em execução em um sistema baseado no Windows.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 1. Variáveis de entrada
    Variável Descrição
    destino [cadeia de caracteres] O nome de domínio totalmente qualificado (FQDN) ou o endereço IP do sistema de destino.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 2. Variáveis de saída
    Variável Descrição
    resposta [cadeia de caracteres]

    Uma cadeia de caracteres JSON que representa os processos em execução no sistema de destino.

    Os dados JSON incluem:

    PID
    O identificador do processo
    nome
    O nome do processo

    Além disso, se disponível:

    Responsável
    O nome do proprietário do processo
    owner_sid
    O identificador do sistema do responsável pelo processo
    owner_domain
    O domínio do proprietário do processo
    path
    O caminho do arquivo do executável do processo
    hash
    O valor de hash do executável do processo. O hash está em SHA-256 para PowerShell V4 ou superior. Caso contrário, o hash estará em MD5.

    Restrições

    O MID Server deve oferecer suporte ao PowerShell.

    O hash SHA-256 requer PowerShell V4.