Execute procdump ação
Execute procdump é uma ação do powershell que executa o procdump nos processos selecionados, despeja os dados em um arquivo e os publica em um site compartilhado em uma rede interna. Um analista pode exibir um processo listado de proibições, realçado em vermelho em um incidente de segurança e executar uma análise adicional no arquivo.
Resultados
Os resultados possíveis para esta ação são:
| Resultado | Descrição |
|---|---|
| Êxito | O procdump foi executado com sucesso em process_name e os detalhes estão disponíveis em actionOutput.response. |
| Falha | O procdump não foi executado no procdump em process_name e os detalhes estão disponíveis em actionOutput.response. |
Variáveis de entrada
As variáveis de entrada são usadas para criar as saídas solicitadas.
| Variável | Descrição |
|---|---|
| targetId | ID de destino para executar o procdump. |
| process_name | [Obrigatório] O nome do processo do procdump. |
| dump_path | [Obrigatório] O caminho do arquivo local no qual o arquivo de despejo gerado será salvo. |
| dump_filename | O nome do arquivo gerado pelo procdump. Todos os caracteres especiais serão substituídos por hifens (-) do nome do arquivo de despejo quando o arquivo for gerado. |
| file_share_path | [Obrigatório] O caminho de compartilhamento de arquivo para o qual o arquivo de despejo será copiado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes.
| Variável | Descrição |
|---|---|
| share_path | O caminho de compartilhamento de arquivo para o qual o arquivo de despejo foi copiado. |
| resposta | Uma representação JSON do resultado do procdump. |
| resultado | O resultado do procdump. |