Invocar um despejo de processo para um processo aprimorado no Windows

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Um analista de segurança pode executar um despejo de processo em um processo específico, despejá-lo em um arquivo e publicá-lo em um site compartilhado em uma rede interna. Um analista pode exibir um processo da lista de proibições, destacado em vermelho em um incidente de segurança, e executar análises adicionais.

    Antes de Iniciar

    Os itens a seguir são necessários:
    • Um cliente executando o Windows Vista ou superior ou um servidor executando o Windows Server 2008 ou superior.
    • O utilitário de linha de comando ProcDump instalado, com uma variável de ambiente do sistema que aponta para o caminho do arquivo executável do procdump. O nome da variável deve ser PROCDUMP. Este nome é usado em um script do PowerShell.
    Função necessária: sn_si.analyst

    Procedimento

    1. Navegue até o incidente de segurança com o processo aprimorado no qual você deseja invocar um procdump clicando em Todos > Incidente de segurança > Mostrar incidentes em abertoe abrir um incidente de segurança.
    2. Clique na guia Dados de aprimoramento.
    3. Clique no registro de aprimoramento Recuperar processos em execução.
    4. Marque as caixas de seleção dos processos em execução para os quais você deseja executar um procdump, clique na lista suspensa Ações nas linhas selecionadas na parte inferior da lista e clique em Executar procdump.
      Uma mensagem de Fluxo de trabalho de produção iniciado para o processo selecionado aparece na parte superior da lista e o fluxo de trabalho Resposta a incidentes de segurança - Executar procdump é executado.