Appeler un vidage de processus pour un processus enrichi dans Windows

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Un analyste de sécurité peut exécuter un vidage de processus sur un processus spécifique, le vider dans un fichier et le publier sur un site partagé sur un réseau interne. Un analyste peut ensuite afficher un processus sur liste de refus, surligné en rouge dans un incident de sécurité, et effectuer une analyse supplémentaire.

    Avant de commencer

    Les éléments suivants sont requis :
    • Un client exécutant Windows Vista ou une version ultérieure, ou un serveur exécutant Windows Server 2008 ou une version ultérieure.
    • L’utilitaire de ligne de commande ProcDump installé, avec une variable d’environnement système qui pointe vers le chemin d’accès au fichier exécutable procdump. Le nom de la variable doit être PROCDUMP. Ce nom est utilisé dans un script PowerShell.
    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à l’incident de sécurité avec le processus enrichi sur lequel vous souhaitez invoquer un procdump en cliquant sur Tous > Incident de sécurité > Afficher les incidents ouvertset ouvrez un incident de sécurité.
    2. Cliquez sur l’onglet Données d’enrichissement .
    3. Cliquez sur l’enregistrement d’enrichissement Récupérer les processus en cours d’exécution .
    4. Cochez les cases des processus en cours d’exécution pour lesquels vous souhaitez effectuer un procdump, cliquez sur la liste déroulante Actions sur les lignes sélectionnées en bas de la liste, puis cliquez sur Exécuter le procdump.
      Un workflow prodump initié pour le message du processus sélectionné apparaît en haut de la liste, et le workflow Réponse aux incidents de sécurité : exécuter procdump s’exécute.