Es gibt keine allgemeinen Eingaben oder spezifisch für die Implementierung, die für die Ausführung der Bedrohungssuche gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• Viren insgesamt
• Hybrid Analysis
• Security Incident Response Integration with Zscaler
• Phistank
• Metadefender
• Bedrohungsgruppe
• Wurde ich verpfändet?
• CrowdStrike Falcon Intelligence

Es gibt keine allgemeinen Eingaben oder implementieren spezifischen Eingaben, die für „Anreicherung erkennbarer Elemente ausführen“ gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• MISP
• Microsoft Defender-Endpunkt
• Shodan
• RiskIQ
• WHOIS
• Reverse Whois

Die Sichtungssuche verwendet Datum und Uhrzeit als allgemeine Eingaben für mehrere Implementierungen von Splunk und anderen Integrationen.

Dieser Bildschirm wird dem Sicherheitsanalysten angezeigt, um Datums- und Uhrzeithäufigkeiten zu erfassen.

Bei Integrationen, die diese Eingaben nicht erfordern, z. B. FireEye HX, werden sie ignoriert. Nach Auswahl einer oder mehrerer Implementierungen und Bereitstellung allgemeiner Eingaben kann der Sicherheitsanalyst die Aktion übermitteln.

• Splunk-Incident-Ergänzung
• Carbon Black
• Elastic Search
• FireEye HX
• McaFee ESM
• MSFT Defender für Endpunkt
• Splunk-Sichtung
• Radardar-Sichtungssuche
• MISP

An Sandbox senden verwendet unterschiedliche Eingaben für verschiedene Implementierungen. Derzeit gibt es keine gemeinsamen Eingaben für diese Fähigkeit.

Wenn der Analyst beispielsweise Crowdstrike Falcon X Quick Scan, Crowdstrike Falcon X Windows 64, Crowdstrike Falcon X Linux und Zscaler auswählt, variieren die Eingaben. Crowdstrike Falcon X-Schnellscan und Zscaler benötigen keine weiteren Laufzeiteingaben. Crowdstrike Falcon X Windows 64 verwendet optionale Laufzeiteingaben, die sich von Crowdstrike Falcon X Linux unterscheiden. Daher können diese in Bildschirm 3 speziell für einzelne ausgewählte Implementierungen bereitgestellt werden.

• CrowdStrike Falcon X Sandbox-Integration
• Security Incident Response Integration with Zscaler

Es gibt keine allgemeinen Eingaben oder implementieren spezifischen Eingaben , die für „In Beobachtungsliste veröffentlichen“gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

Es gibt keine allgemeinen Eingaben oder implementieren spezifischen Eingaben, die für die Anforderung zum Zulassen/Blockierengelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• Palo Alto Network NGFW
• Prüfpunkt NGFW
• Security Incident Response Integration with Zscaler

Es gibt keine allgemeinen Eingaben oder spezifisch für die Implementierung, die für „Hostdetails abrufen“ gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• FireEye HX
• Microsoft Defender für Endpunkt

„Datei abrufen“ verwendet Dateiname und Pfad als allgemeine Eingaben. Nach Auswahl einer oder mehrerer Implementierungen und Bereitstellung allgemeiner Eingaben kann der Sicherheitsanalyst die Aktion übermitteln.

Es gibt keine allgemeinen Eingaben oder spezifisch für die Implementierung, die für „Netzwerkstatistiken abrufen“ gelten. Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• FireEye HX
• NetStat

Es gibt keine allgemeinen Eingaben oder implementieren spezifischen Eingaben, die für „Laufende Prozesse abrufen“ gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• FireEye HX
• Carbon Black
• Systembefehl

Es gibt keine allgemeinen Eingaben oder spezifisch für die Implementierung, die für „Laufende Services abrufen“ gelten.

Daher wird dem Analysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Analyst die Aktion übermitteln.

„Host isolieren“/„Isolierung des Hosts aufheben“ erfordert unterschiedliche Eingaben für verschiedene Implementierungen.

Derzeit gibt es keine gemeinsamen Eingaben für diese Fähigkeit. Wenn der Analyst beispielsweise FireEye HX und Microsoft Defender für Endpunkt auswählt, variieren die Eingaben.

FireEye HX benötigt keine Laufzeiteingaben. Microsoft Defender hingegen akzeptiert Eingaben wie Isolationstyp und Kommentare.

Daher können diese in Bildschirm 3 speziell für einzelne ausgewählte Implementierungen bereitgestellt werden.

• FireEye HX
• Microsoft Defender-Endpunkt
• Carbon Black

Der Host „Zusätzliche Aktionen ausführen“ akzeptiert unterschiedliche Eingaben für verschiedene Implementierungen. Derzeit gibt es keine gemeinsamen Eingaben für diese Fähigkeit.

Wenn der Analyst beispielsweise „FireEye HX Standard Investigative Details Script“, „FireEye HX Selektierungsakquise“ und „Crowdstrike Falcon Insight reg unload“ auswählt, variieren die Eingaben.

FireEye HX Standard Skript für Untersuchungsdetails und FireEye HX Selektierungsakquise verwenden Kommentare als Eingabe, die für beide unterschiedlich sein können. Crowdstrike Falcon Insight – Reg.-Entladen verwendet Unterschlüssel als Eingabe.

• FireEye HX
• Microsoft Defender für Endpunkt
• Crowdstrike Falcon Insight