Invoquer un vidage de processus pour un processus enrichi dans Windows

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Un analyste de sécurité peut exécuter un vidage de processus sur un processus spécifique, le vider dans un fichier et le publier sur un site partagé sur un réseau interne. Un analyste peut ensuite afficher un processus répertorié pour un refus, mis en évidence en rouge dans un incident de sécurité, et effectuer une analyse supplémentaire.

    Avant de commencer

    Les éléments suivants sont requis :
    • Un client exécutant Windows Vista ou une version ultérieure, ou un serveur exécutant Windows Server 2008 ou une version ultérieure.
    • L’utilitaire de ligne de commande ProcDump installé, avec une variable d’environnement système qui pointe vers le chemin d’accès du fichier exécutable procdump. Le nom de la variable doit être PROCDUMP. Ce nom est utilisé dans un script PowerShell.
    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à l’incident de sécurité avec le processus enrichi sur lequel vous souhaitez appeler un procdump en cliquant sur Tous > Incident de sécurité > Afficher les incidents ouvertset ouvrez un incident de sécurité.
    2. Cliquez sur l’onglet Données d’enrichissement .
    3. Cliquez sur l’enregistrement d’enrichissement Récupérer les processus en cours d’exécution .
    4. Cochez les cases correspondant aux processus en cours pour lesquels vous souhaitez exécuter un procdump, cliquez sur la liste déroulante Actions sur les lignes sélectionnées en bas de la liste, puis cliquez sur Run Procdump.
      Un workflow Prodump initié pour le processus sélectionné s’affiche en haut de la liste, et le workflow Security Incident Response - Run procdump s’exécute.