Windows の拡張プロセスのプロセスダンプの呼び出し

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:1分

    • セキュリティアナリストは、特定のプロセスでプロセスダンプを実行し、それをファイルにダンプして、内部ネットワーク上の共有サイトに投稿できます。アナリストは、セキュリティインシデントで赤くハイライト表示された、拒否リストに載っているプロセスを表示して、追加の分析を実行できます。

    始める前に

    次のものが必要です。
    • Windows Vista 以降を実行しているクライアント、または Windows Server 2008 以降を実行しているサーバー。
    • インストールされた ProcDump コマンドラインユーティリティと、procdump 実行可能ファイルのパスを指すシステム環境変数。変数の名前は必ず PROCDUMP にします。この名前は PowerShell スクリプトで使用されます。
    必要なロール:sn_si.analyst

    手順

    1. 次をクリックして、procdump を呼び出す拡張プロセスを含むセキュリティインシデントに移動します すべて > セキュリティインシデント > オープンインシデントを表示をクリックし、セキュリティインシデントを開きます。
    2. [拡張データ] タブをクリックします。
    3. [実行中のプロセスを取得 (Retrieve Running Processes)] 拡張レコードをクリックします。
    4. procdump を実行する実行中のプロセスのチェックボックスをオンにし、リストの下部にある [選択した行のアクション] ドロップダウンリストをクリックして、[Procdump を実行] をクリックします。
      [選択したプロセスの Prodump ワークフローが開始されました (Initiated prodump workflow for selected process)] のメッセージがリストの上部に表示され、[セキュリティインシデントレスポンス - Procdump を実行] ワークフローが実行されます