Die Fähigkeit „Aktion blockieren“ blockieren erkennbare Elemente, die einem Security Incident zugeordnet sind an einer Firewall, einem Webproxy oder einem anderen Kontrollpunkt mithilfe von Implementierungsworkflows. Diese Fähigkeit wird während bei der Reaktion auf Incidents während Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.

Die Fähigkeit „Sperranforderung“ verfügt über den Workflow Security Operations-Integration – Workflow „Anforderung blockieren“., der die Anforderung zum Blockieren ausführt. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, findet implementierende Fähigkeiten und führt die Anforderung basierend auf dem konfigurierten Workflow aus.