Intégration des commandes du système des opérations de sécurité : obtenir le flux d’exécution des processus
Le flux Intégration des commandes du système des opérations de sécurité : obtenir l’exécution des processus récupère les processus en cours d’exécution d’un élément de configuration lorsqu’il est ajouté ou mis à jour à un incident de sécurité Windows ou Unix à l’état Analyse .
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Pour les nouveaux incidents de sécurité, le flux s’exécute automatiquement lorsque vous soumettez l’incident avec un élément de configuration sélectionné, lorsque l’état passe automatiquement à Analyse. S’il reste à l’état Brouillon , il ne s’exécute pas.
Les incidents de sécurité existants sont automatiquement mis à jour lorsque vous êtes dans l’état Analyse et que vous ajoutez un nouvel élément de configuration.
Les actions de processus de flux comprennent :
- Obtenir le FQDN de l’élément de configuration Action de flux
- Déterminer le script Shell par activité du système d’exploitation
- Suivi des exécutions : commencer l’action de flux
- Obtenir les exécutions de processus via PowerShell
- Exécuter l’activité du script Shell
- Suivi de l’exécution de l’aptitude : action de flux d’échec
- Extraire le script Shell de l’activité de script MID
- Combiner les résultats et renvoyer les valeurs dans un tableau
- Créer une action de flux d’enregistrements de données d’enrichissement
- Suivi de l’exécution de l’aptitude : terminer l’action de flux