Получение дампа памяти процесса

Чтобы получить дамп памяти процесса, выполните следующие действия:

1. Выберите действие по реагированию Процесс дампа памяти.

   Откроется панель Получить дамп памяти процесса.

2. В поле Идентификатор процесса укажите идентификатор процесса, для которого вы хотите получить дамп памяти.
3. При необходимости настройте следующие параметры:
   • В раскрывающемся списке Активы измените устройство, с которого вы хотите получить дамп памяти процесса.

     По умолчанию поле содержит имя устройства, для которого ранее вы установили флажок. Можно выбрать устройства, которые не связаны с алертом или инцидентом, но принадлежат тенанту алерта или инцидента либо его дочерним тенантам.

     Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
     Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, а затем отображаются устройства в алфавитном порядке, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

   • В поле MD5 или SHA256 укажите хеш файла процесса, для которого требуется получить дамп памяти.
   • В поле Описание напишите описание или комментарий к действию по реагированию.
4. Нажмите на кнопку Получить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

В результате действия по реагированию дамп памяти процесса сохранится в ZIP-архив.

Просмотр результата действия по реагированию

Вы можете просмотреть и скачать архив одним из следующих способов:

• В главном меню в разделе Файлы или на вкладке Файлы в сведениях алерта или инцидента.
• В главном меню в разделе История реагирований или на вкладке История в сведениях алерта или инцидента.

  После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно и защищенный паролем ZIP-архив с результатами проверки. Вы можете скачать архив на ваше устройство. Пароль для файла архива: infected.

  Иначе отобразится сообщение об ошибке с информацией о причине.

  Если вы хотите просмотреть Идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

В начало