Integração de comando do sistema de operações de segurança - Obter fluxo de processos em execução
O fluxo Integração de comando do sistema de operações de segurança - Obter processos em execução recupera os processos em execução de um item de configuração quando adicionado ou atualizado para um incidente de segurança baseado em Windows ou Unix no Análise estado.
Antes de Iniciar
Função necessária: sn_si.analista
Por Que e Quando Desempenhar Esta Tarefa
Para novos incidentes de segurança, o fluxo é executado automaticamente quando você envia o incidente com um item de configuração selecionado, quando o estado muda automaticamente para Análise . Se permanecer em Rascunho e, em seguida, ele não será executado.
Os incidentes de segurança existentes são atualizados automaticamente quando você está no Análise e você adiciona um novo item de configuração.
As ações do processo de fluxo incluem:
- Ação de fluxo do FQDN do item de configuração
- Determine o script do shell por atividade do SO
- Acompanhamento de execução - Iniciar ação de fluxo
- Obter processos em execução pelo PowerShell
- Execute a atividade de script de shell
- Acompanhamento da execução da capacidade - Ação de fluxo de falha
- Extrair script de shell da atividade de script DO MID
- Combinar resultados e retornam valores em uma matriz
- Ação de fluxo Criar registros de dados de aprimoramento
- Acompanhamento da execução da capacidade - Concluir ação de fluxo