Exécuter l’action de procdump
Exécuter le procdump est une action PowerShell qui exécute le procdump sur les processus sélectionnés, vide les données dans un fichier et les publie sur un site partagé sur un réseau interne. Un analyste peut ensuite afficher un processus sur liste de refus, surligné en rouge dans un incident de sécurité, et effectuer une analyse supplémentaire sur le fichier.
Résultats
Les résultats possibles de cette action sont les suivants :
| Résultat | Description |
|---|---|
| Succès | Le procdump a été exécuté avec succès sur l’process_name et les détails sont disponibles dans actionOutput.response. |
| Échec | Échec de l’exécution du procdump sur le process_name et les détails sont disponibles dans actionOutput.response. |
Variables d'entrée
Les variables d’entrée sont utilisées pour créer les sorties demandées.
| Variable | Description |
|---|---|
| targetId | [Obligatoire] ID cible sur lequel exécuter le procdump. |
| process_name | [Obligatoire] Nom du processus pour le procdump. |
| dump_path | [Obligatoire] Chemin d’accès au fichier local dans lequel le fichier dump généré sera enregistré. |
| dump_filename | [Obligatoire] Le nom du fichier généré par le procdump. Tous les caractères spéciaux seront remplacés par des traits d’union (-) du nom du fichier dump lors de la génération du fichier. |
| file_share_path | [Obligatoire] Chemin du partage de fichier vers lequel le fichier dump sera copié. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures.
| Variable | Description |
|---|---|
| share_path | Chemin du partage de fichier vers lequel le fichier dump a été copié. |
| réponse | Représentation JSON du résultat du procdump. |
| résultat | Résultat du procdump. |