Options d’expérience unifiée et écrans modaux
Le tableau suivant ci-dessous décrit les fonctionnalités et les écrans applicables.
| Option | Écrans des cadres de travail UX applicables | Intégrations prises en charge |
|---|---|---|
| Exécuter une recherche de menace | Seul l’écran 1 – Sélectionner les implémentations s’applique. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Exécuter une recherche de menace. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité est en mesure de soumettre l’action. |
|
| Exécuter l'enrichissement de l'élément observable | Seul l’écran 1 – Sélectionner les implémentations est applicable Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Exécuter l’enrichissement des observables. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité est en mesure de soumettre l’action. |
|
| Exécuter la recherche de perception/Exécuter la recherche de perception Web/Exécuter la recherche de perception des e-mails | Écran 1 – Sélectionner les implémentations et Écran 2 – Les entrées communes sont applicables. La recherche de perception utilise la date et la fréquence comme entrées communes à plusieurs implémentations de Splunk et d’autres intégrations. Cet écran sera présenté à l’analyste de la sécurité pour capturer les fréquences de date et d’heure. Pour les intégrations qui ne nécessitent pas ces entrées, par exemple FireEye HX, elles sont ignorées. Après avoir sélectionné une ou plusieurs implémentations et fourni des entrées communes, l’analyste de la sécurité est en mesure de soumettre l’action. |
|
| Soumettre au bac à sable (sandbox) | Écran 1 – Sélectionner les implémentations et Écran 3 – Implémentation, les entrées spécifiques sont applicables. Soumettre au bac à sable accepte différentes entrées pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette option. Par exemple, lorsque l’analyste sélectionne Analyse rapide Crowdstrike Falcon X, Crowdstrike Falcon X Windows 64, Crowdstrike Falcon X Linux et Zscaler, les entrées varient. L’analyse rapide Crowdstrike Falcon X et Zscaler n’ont pas besoin d’autres entrées de temps d’exécution. Crowdstrike Falcon X Windows 64 prend en charge des entrées d’exécution facultatives qui diffèrent de celles de Crowdstrike Falcon X Linux. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement par rapport aux implémentations sélectionnées individuelles, le cas échéant. |
|
| Publier dans la liste de surveillance | Seul l’écran 1 – Sélectionner les implémentations s’applique. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Publier dans la liste de surveillance. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité est en mesure de soumettre l’action. |
Hôte Crowdstrike Falcon |
| Demande d'autorisation/de blocage | Seul l’écran 1 – Sélectionner les implémentations s’applique. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour la demande d’autorisation/de blocage. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité est en mesure de soumettre l’action. |
|
| Obtenir les détails de l'hôte | Seul l’écran 1 – Sélectionner les implémentations s’applique. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir les détails de l’hôte. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité est en mesure de soumettre l’action. |
|
| Obtenir un fichier | Écran 1 – Sélectionner les implémentations et Écran 2 – Les entrées communes sont applicables. Obtenir un fichier prend le nom du fichier et le chemin d’accès comme entrées communes. Après avoir sélectionné une ou plusieurs implémentations et fourni des entrées communes, l’analyste de la sécurité est en mesure de soumettre l’action. |
FireEye HX |
| Obtenir les statistiques réseau | Seul l’écran 1 – Sélectionner les implémentations s’applique. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir les statistiques réseau. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité est en mesure de soumettre l’action. |
|
| Obtenir l'exécution des processus | Seul l’écran 1 – Sélectionner les implémentations s’applique. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour l’exécution des processus. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité est en mesure de soumettre l’action. |
|
| Obtenir les services d'exécution | Seul l’écran 1 – Sélectionner les implémentations s’applique. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour les services d’exécution. Ainsi, seul l’écran 1 est présenté à l’analyste pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste est en mesure de soumettre l’action. |
FireEye HX |
| Isoler l’hôte/Ne pas isoler l’hôte | Écran 1 – Sélectionner les implémentations et Écran 3 – Implémentation, les entrées spécifiques sont applicables. Isoler l’hôte/Ne pas isoler l’hôte prend des entrées différentes pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette option. Par exemple, lorsque l’analyste sélectionne FireEye HX et Microsoft Defender pour point de terminaison, les entrées varient. FireEye HX n’a pas besoin d’entrées de temps d’exécution. D’autre part, Microsoft Defender accepte des entrées telles que le type d’isolement et les commentaires. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement par rapport aux implémentations sélectionnées individuelles, le cas échéant. |
|
| Exécuter des actions supplémentaires | Écran 1 – Sélectionner les implémentations et Écran 3 – Implémentation, les entrées spécifiques sont applicables. Exécuter des actions supplémentaires L’hôte prend des entrées différentes pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette option. Par exemple, lorsque l’analyste sélectionne le script Détails d’enquête standard FireEye HX, l’acquisition du triage FireEye HX et le déchargement reg de Crowdstrike Falcon Insight, les entrées varient. Le script des détails d’enquête standard FireEye HX et l’acquisition du triage FireEye HX prennent les commentaires comme entrée qui peuvent être différents pour les deux. Le déchargement de l’enregistrement de Crowdstrike Falcon Insight prend la sous-clé comme entrée. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement par rapport aux implémentations sélectionnées individuelles, le cas échéant.
Remarque : Ne prend actuellement en charge qu’une seule sélection d’implémentation. Dans les versions futures, la sélection multiple d’implémentation sera prise en charge. |
|