O fluxo de trabalho Executar procdump executa um despejo de processo em um processo especificado e o salva em um arquivo que pode ser direcionado por analistas de segurança.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Este fluxo de trabalho é acionado quando processos aprimorados são selecionados e uma ação de IU Executar procdump é executada. Figura 1. Executar procdump
As atividades do processo de fluxo de trabalho incluem:
Executar script (enriquecimento de log de auditoria): executa um script para adicionar um log de auditoria ao incidente de segurança.
Executar script (Êxito – Adicionar anotação de trabalho de SI): executa um script para adicionar uma anotação de trabalho quando o procdump é bem-sucedido.
Executar script (Falha - Adicionar anotação de trabalho de SI): executa um script para adicionar uma anotação de trabalho quando o procdump falha. Os motivos pelos quais o procdump pode falhar incluem:
Caminho de despejo inválido
Caminho de compartilhamento de arquivo inválido
Não é possível buscar o nome do domínio totalmente qualificado da máquina Windows em que o procdump está sendo executado
O nome do processo não foi especificado
A variável de ambiente PROCDUMP não foi encontrada
Falha ao copiar uma cópia do arquivo de despejo do caminho de despejo para o caminho de compartilhamento do arquivo
