Die Fähigkeit „Aktion blockieren“ blockieren erkennbare Elemente, die einem Security Incident zugeordnet sind an einer Firewall, einem Webproxy oder einem anderen Kontrollpunkt mithilfe von Implementierungsworkflows. Diese Fähigkeit wird während bei der Reaktion auf Incidents während Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.

Die Blockierungsanforderungs-Fähigkeit verfügt über einen Workflow, Workflow „Security Operations Integration - Block Request“., der die zu blockierende Anforderung ausführt. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, findet alle implementierenden Fähigkeiten und führt die Anforderung basierend auf dem konfigurierten Workflow aus.