Ruft eine Prozess-Sicherung für einen angereicherten Prozess in Windows auf

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Ein Sicherheitsanalyst kann eine Prozesssicherung für einen bestimmten Prozess ausführen, sie in einer Datei speichern und sie an eine freigegebene Site in einem internen Netzwerk senden. Ein Analyst kann dann einen Prozess auf der Deny-Liste anzeigen, der in einem Security Incident rot hervorgehoben ist, und zusätzliche Analysen durchführen.

    Vorbereitungen

    Die folgenden Elemente sind erforderlich:
    • Ein Client mit Windows Vista oder höher oder ein Server mit Windows Server 2008 oder höher.
    • Das installierte Befehlszeilendienstprogramm ProcDump mit einer Systemumgebungsvariablen, die auf den Pfad der ausführbaren procdump-Datei verweist. Der Name der Variable muss PROCDUMP lauten. Dieser Name wird in einem PowerShell-Skript verwendet.
    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren Sie zu dem Security Incident mit dem angereicherten Prozess, für den Sie einen Procdump aufrufen möchten, indem Sie auf klicken Alle > Security Incident > Offene Incidents anzeigen, und öffnen Sie einen Security Incident.
    2. Klicken Sie auf die Registerkarte Ergänzungsdaten.
    3. Klicken Sie auf den Ergänzungsdatensatz „Laufende Prozesse abrufen“.
    4. Aktivieren Sie die Kontrollkästchen für die laufenden Prozesse, für die Sie einen Procdump ausführen möchten, klicken Sie auf die Dropdown-Liste Aktionen für ausgewählte Zeilen unten in der Liste, und klicken Sie auf Procdump ausführen.
      Die Meldung Prodump-Workflow für ausgewählten Prozess initiiert wird oben in der Liste angezeigt, und der Workflow Security Incident Response – Procdump-Workflow ausführen wird ausgeführt.