Rufen Sie eine Prozesssicherung für einen erweiterten Prozess in Windows auf

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Ein Sicherheitsanalyst kann eine Prozesssicherung für einen bestimmten Prozess ausführen, ihn in eine Datei speichern und an einer freigegebenen Site in einem internen Netzwerk veröffentlichen. Ein Analyst kann dann einen Deny-Listen-Prozess anzeigen, der in einem Security Incident rot hervorgehoben ist, und zusätzliche Analysen durchführen.

    Vorbereitungen

    Folgendes ist erforderlich:
    • Ein Client mit Windows Vista oder höher oder ein Server mit Windows Server 2008 oder höher.
    • Das installierte Befehlszeilendienstprogramm ProcDump mit einer Systemumgebungsvariablen, die auf den Pfad der ausführbaren Datei procdump verweist. Der Name der Variablen muss PROCDUMP lauten. Dieser Name wird in einem PowerShell-Skript verwendet.
    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren Sie zu dem Security Incident mit dem erweiterten Prozess, für den Sie einen Produktdump aufrufen möchten, indem Sie auf klicken Alle > Security Incident > Offene Incidents anzeigen, und öffnen Sie einen Security Incident.
    2. Klicken Sie auf die Registerkarte Ergänzungsdaten.
    3. Klicken Sie auf den Ergänzungsdatensatz Laufende Prozesse abrufen.
    4. Aktivieren Sie die Checkboxen für die laufenden Prozesse, für die Sie einen Procdump ausführen möchten, klicken Sie auf die Dropdown-Liste Aktionen für ausgewählte Zeilen am Ende der Liste, und klicken Sie auf Procdump ausführen.
      Die Nachricht Prodump-Workflow für ausgewählten Prozess initiiert wird oben in der Liste angezeigt, und der Workflow „Security Incident Response – Prodump ausführen“ wird ausgeführt.