フル ダンプとプロセス ダンプについて

フル ダンプとプロセス ダンプについて説明します。情報に関する独自の犯跡の分析を実行できるように、エンドポイントから Endpoint Activity Recorder のデータを取得 (または「ダンプ」) できます。ダンプは、Symantec EDR に登録されているエンドポイントでのみ実行できます。ダンプを実行すると、エンドポイントレコーダデータ内に存在するすべての情報が取得されます。
前提条件:
エンドポイントでエンドポイント活動レコーダを有効にしている必要があります。
Endpoint Activity Recorder を設定するときにサイズを設定すると、Endpoint Activity Recorder で格納できるデータ量を制限できます。
実行できるダンプの種類は次のとおりです。
  • フルダンプ
    エンドポイントで発生したすべての関連イベントでデータが構成されます。
    エンドポイントから収集されたデータのサイズによっては、フル ダンプの完了まで数時間かかる場合があります。
  • プロセスダンプ
    データは、要求されたファイルハッシュを戻すプロセスに関してエンドポイントで発生して記録されたすべてのイベントで構成されます。プロセスダンプを開始するときに、ファイルハッシュに対して Endpoint Activity Recorder ダンプ情報を取得するエンドポイントを選択します。