Acerca del volcado completo y del volcado de procesos

Acerca del volcado completo y del volcado de procesos. Puede recuperar (o “volcar”) datos de Endpoint Activity Recorder de modo que pueda realizar su propio análisis forense en la información. Solo se puede realizar un volcado en los endpoints inscritos con Symantec EDR. Cuando realiza un volcado, obtiene toda la información que existe dentro de Endpoint Data Recorder.
Requisito previo:
Se debe tener la función Endpoint Activity Recorder habilitada en el endpoint.
El tamaño que se configura cuando establece los límites de Endpoint Activity Recorder para la cantidad de datos que puede almacenar Endpoint Activity Recorder.
Los tipos de volcados que puede realizar son los siguientes:
  • Full Dump (Volcado completo)
    Los datos constan de todos los eventos registrados que ocurrieron en el endpoint.
    El volcado completo puede tardar un par de horas en completarse dependiendo del tamaño de los datos que se recopilan del endpoint.
  • Volcado de procesos
    Los datos constan de todos los eventos registrados que ocurrieron en un endpoint relacionados con los procesos respaldados por el hash de archivo solicitado. Cuando inicie un volcado de procesos, seleccione los endpoints desde los cuales desea obtener información de volcado de Endpoint Activity Recorder para el hash de archivo.