L’aptitude Bloquer l’action bloque les observables associés à un incident de sécurité sur un pare-feu, un proxy web ou tout autre point de contrôle à l’aide de flux de mise en œuvre. Cette aptitude est utilisée au cours des enquêtes de réponse à un incident pour contenir une menace identifiée.

L’aptitude Demande de bloc a un flux, Security Operations Integration - Bloquer le flux de demande, qui exécute la demande de blocage. Ce flux accepte une liste d’observables, recherche toutes les options d’implémentation et exécute la demande en fonction du flux configuré.