Invocar um despejo de processo para um processo aprimorado no Windows

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Um analista de segurança pode executar um despejo de processo em um processo específico, despejá-lo em um arquivo e publicá-lo em um site compartilhado em uma rede interna. Um analista pode exibir um processo da lista de proibições, destacado em vermelho em um incidente de segurança, e realizar análises adicionais.

    Antes de Iniciar

    São necessários:
    • Um cliente executando o Windows Vista ou superior ou um servidor executando o Windows Server 2008 ou superior.
    • O utilitário de linha de comando ProcDump instalado, com uma variável de ambiente do sistema que aponta para o caminho do arquivo executável do procdump. O nome da variável deve ser PROCDUMP. Este nome é usado em um script do PowerShell.
    Função necessária: sn_si.analyst

    Procedimento

    1. Navegue até o incidente de segurança com o processo aprimorado no qual você deseja invocar um procdump clicando em Todos > Incidente de segurança > Mostrar incidentes em abertoe abra um incidente de segurança.
    2. Clique na guia Dados de aprimoramento.
    3. Clique no registro de aprimoramento Recuperar processos em execução.
    4. Marque as caixas de seleção dos processos em execução para os quais você deseja executar um procdump, clique na lista suspensa Ações nas linhas selecionadas na parte inferior da lista e clique em Executar procdump.
      Um fluxo de trabalho de produção iniciado para a mensagem do processo selecionado aparece na parte superior da lista e o fluxo de trabalho do Security Incident Response - Executar procdump é executado.