procdump 워크플로우 실행
procdump 실행 워크플로는 지정된 프로세스에서 프로세스 덤프를 실행하고 보안 분석가가 대상으로 지정할 수 있는 파일에 저장합니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
이 워크플로는 보강된 프로세스가 선택되고 procdump 실행 UI 작업이 실행될 때 트리거됩니다. 그림 1. procdump 실행
워크플로우 프로세스 활동에는 다음이 포함됩니다.
- 스크립트 실행(감사 로그 보강): 보안 인시던트에 감사 로그를 추가하는 스크립트를 실행합니다.
- procdump 활동 실행
- 스크립트 실행(성공 - SI 작업 메모 추가): procdump가 성공할 때 작업 메모를 추가하는 스크립트를 실행합니다.
- 스크립트 실행(실패 - SI 작업 메모 추가): procdump가 실패할 때 작업 메모를 추가하는 스크립트를 실행합니다. procdump가 실패할 수 있는 이유는 다음과 같습니다.
- 잘못된 덤프 경로
- 잘못된 파일 공유 경로
- procdump가 실행 중인 Windows 컴퓨터의 정규화된 domin 이름을 가져올 수 없음
- 프로세스 이름이 지정되지 않았습니다.
- PROCDUMP 환경 변수를 찾을 수 없습니다.
- 덤프 파일의 복사본이 덤프 경로에서 파일 공유 경로로 복사되지 않습니다.