Sobre o despejo completo e o despejo de processo

Sobre o despejo completo e o despejo de processo. É possível recuperar (ou fazer o despejo) dados do Gravador de atividades do endpoint, de modo que você possa executar sua própria análise forense sobre as informações. Só é possível executar um despejo nos endpoints registrados com o Symantec EDR. Ao executar um despejo, você obtém todas as informações existentes nos dados do gravador do endpoint.
Pré-requisito:
Você deve ter o gravador de atividades ativado no endpoint.
O tamanho que você definir ao configurar o gravador de atividades do endpoint limitará a quantidade de dados que o gravador de atividades do endpoint pode armazenar.
Os tipos de despejo que podem ser executados são os seguintes:
  • Despejo completo
    Os dados consistem em todos os eventos registrados que ocorreram no endpoint.
    O despejo completo pode levar algumas horas para ser concluído, dependendo do tamanho dos dados coletados do endpoint.
  • Despejo de processo
    Os dados consistem em todos os eventos gravados que ocorreram em um endpoint relacionado aos processos que o hash de arquivo solicitado retorna. Ao iniciar um despejo de processo, você seleciona os endpoints dos quais deseja obter informações de despejo do Gravador de atividades do endpoint em relação ao hash de arquivo.