procdump action を実行
[Procdump を実行 ] は、選択したプロセスで procdump を実行し、データをファイルにダンプして、内部ネットワーク上の共有サイトに投稿する PowerShell アクションです。アナリストは、セキュリティインシデントで赤くハイライト表示された、拒否リストに載っているプロセスを表示して、ファイルで追加の分析を実行できます。
結果
このアクションの考えられる結果は次のとおりです。
| 結果 | 説明 |
|---|---|
| 成功 | procdump はprocess_nameで正常に実行されました。詳細は actionOutput.response で確認できます。 |
| 失敗 | procdump はprocess_nameでの実行に失敗しました。詳細は actionOutput.response で確認できます。 |
入力変数
入力変数は、要求された出力を作成するために使用されます。
| 変数 | 説明 |
|---|---|
| targetId | [必須] procdump を実行するターゲット ID |
| process_name | [必須] procdump のプロセス名 |
| dump_path | [必須] 生成されるダンプファイルの保存先のローカルファイルパス |
| dump_filename | [必須] procdump によって生成されるファイルのファイル名。ダンプファイル名に含まれるすべての特殊文字は、ファイルの生成時にハイフン (-) で置き換えられます。 |
| file_share_path | [必須] ダンプファイルのコピー先のファイル共有パス |
出力変数
出力変数には、後続のアクションで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| share_path | [必須] ダンプファイルのコピー先のファイル共有パス |
| response | procdump の結果の JSON 表現 |
| result | procdump の結果 |