Le workflow Exécuter procdump exécute un vidage de processus sur un processus spécifié et l’enregistre dans un fichier qui peut être ciblé par les analystes de sécurité.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Ce workflow est déclenché lorsque des processus enrichis sont sélectionnés et qu’une action d’interface utilisateur Exécuter procdump est exécutée. Figure 1. Exécuter procdump
Les activités de processus du workflow comprennent :
Exécuter le script (enrichissement du journal d’audit) : exécute un script pour ajouter un journal d’audit à l’incident de sécurité.
Exécuter le script (Réussite : ajouter une note de travail SI) : exécute un script pour ajouter une note de travail lorsque le procdump réussit.
Exécuter le script (Échec – Ajouter une note de travail SI) : exécute un script pour ajouter une note de travail lorsque le procdump échoue. Les raisons pour lesquelles le procdump peut échouer sont les suivantes :
Chemin de vidage non valide
Chemin d’accès du partage de fichier non valide
Impossible d’extraire le nom de domaine complet de l’ordinateur Windows sur lequel le procdump s’exécute
Le nom du processus n’est pas spécifié
La variable d’environnement PROCDUMP est introuvable
Échec de la copie d’une copie du fichier dump à partir du chemin de vidage vers le chemin d’accès du partage de fichiers
