Options d’expérience unifiées et écrans modaux
Le tableau ci-dessous décrit les capacités et les écrans applicables.
| Aptitude | Écrans de cadres de travail UX applicables | Intégrations prises en charge |
|---|---|---|
| Exécuter une recherche de menace | Seul l’écran 1 – Sélectionner des implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour l’exécution de la recherche de menace. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité sera en mesure de soumettre l’action. |
|
| Exécuter l'enrichissement de l'élément observable | Seul l’écran 1 – Sélectionner des implémentations est applicable Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Exécuter l’enrichissement de l’élément observable. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité sera en mesure de soumettre l’action. |
|
| Exécuter la recherche de perception/Exécuter la recherche de perception en ligne/Exécuter la recherche de perception des e-mails | Écran 1 – Sélectionner Implémentations et Écran 2 – Entrées communes sont applicables. La recherche de perception utilise la date et la fréquence comme entrées communes dans plusieurs implémentations de Splunk et d’autres intégrations. Cet écran sera présenté à l’analyste de la sécurité pour capturer les fréquences de date et d’heure. Pour les intégrations qui ne nécessitent pas ces entrées, par exemple FireEye HX, elles seront ignorées. Après avoir sélectionné une ou plusieurs implémentations et fourni des entrées communes, l’analyste de la sécurité sera en mesure de soumettre l’action. |
|
| Soumettre au bac à sable (sandbox) | Écran 1 – Sélectionner Implémentations et Écran 3 – Entrées spécifiques à l’implémentation sont applicables. L’envoi au bac à sable prend différentes entrées pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette option. Par exemple, lorsque l’analyste sélectionne Crowdstrike Falcon X Quick Scan, Crowdstrike Falcon X Windows 64, Crowdstrike Falcon X Linux et Zscaler, les entrées varient. L’analyse rapide de Crowdstrike Falcon X et Zscaler n’ont pas besoin d’autres entrées de temps d’exécution. Crowdstrike Falcon X Windows 64 accepte des entrées d’exécution facultatives qui diffèrent de Crowdstrike Falcon X Linux. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement pour les implémentations sélectionnées individuellement, le cas échéant. |
|
| Publier dans la liste de surveillance | Seul l’écran 1 – Sélectionner des implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour la publication dans la liste de surveillance. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité sera en mesure de soumettre l’action. |
Hôte Crowdstrike Falcon |
| Demande d'autorisation/de blocage | Seul l’écran 1 – Sélectionner des implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour la demande d’autorisation/de blocage. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité sera en mesure de soumettre l’action. |
|
| Obtenir les détails de l'hôte | Seul l’écran 1 – Sélectionner des implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour obtenir les détails de l’hôte. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité sera en mesure de soumettre l’action. |
|
| Obtenir un fichier | Écran 1 – Sélectionner Implémentations et Écran 2 – Entrées communes sont applicables. Obtenir un fichier prend le nom du fichier et le chemin d’accès comme entrées courantes. Après avoir sélectionné une ou plusieurs implémentations et fourni des entrées communes, l’analyste de la sécurité sera en mesure de soumettre l’action. |
FireEye HX |
| Obtenir les statistiques réseau | Seul l’écran 1 – Sélectionner des implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir les statistiques réseau. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité sera en mesure de soumettre l’action. |
|
| Obtenir les processus en cours d'exécution | Seul l’écran 1 – Sélectionner des implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir l’exécution des processus. Ainsi, seul l’écran 1 est présenté à l’analyste de la sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de la sécurité sera en mesure de soumettre l’action. |
|
| Obtenir les services d'exécution | Seul l’écran 1 – Sélectionner des implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir l’exécution des services. Ainsi, seul l’écran 1 est présenté à l’analyste pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste pourra soumettre l’action. |
FireEye HX |
| Isoler l’hôte / Annuler l’isolement de l’hôte | Écran 1 – Sélectionner Implémentations et Écran 3 – Entrées spécifiques à l’implémentation sont applicables. Isoler l’hôte/Annuler l’isolement de l’hôte utilise différentes entrées pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette option. Par exemple, lorsque l’analyste sélectionne FireEye HX et Microsoft Defender pour point de terminaison, les entrées varient. FireEye HX n’a pas besoin d’entrées de temps d’exécution. D’autre part, Microsoft Defender prend des entrées telles que le type d’isolement et les commentaires. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement pour les implémentations sélectionnées individuellement, le cas échéant. |
|
| Exécuter des actions supplémentaires | Écran 1 – Sélectionner Implémentations et Écran 3 – Entrées spécifiques à l’implémentation sont applicables. Exécuter des actions supplémentaires L’hôte utilise différentes entrées pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette option. Par exemple, lorsque l’analyste sélectionne le script de détails d’enquête standard FireEye HX, l’acquisition de triage FireEye HX et le déchargement d’enregistrement de Crowdstrike Falcon Insight, les entrées varient. Le script de détails d’enquête standard FireEye HX et l’acquisition de triage FireEye HX prennent en compte les commentaires comme entrée qui peuvent être différents pour les deux. Le déchargement d’enregistrement de Crowdstrike Falcon Insight prend Subkey comme entrée. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement pour les implémentations sélectionnées individuellement, le cas échéant.
Remarque : Ne prend actuellement en charge qu’une seule sélection d’implémentation. Dans les versions futures, la sélection multiple d’implémentation sera prise en charge. |
|