Es gibt keine allgemeinen Eingaben oder implementierungsspezifischen Eingaben, die für die Ausführung der Bedrohungssuche gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• Viren insgesamt
• Hybrid Analysis
• Security Incident Response-Integration mit Zscaler
• Phistank
• Metadefender
• Threatcrowd
• Wurde ich verpfändet?
• Crowd Strike Falcon Intelligence

Es gibt keine allgemeinen Eingaben oder implementierungsspezifischen Eingaben, die für die Ausführung der Anreicherung erkennbarer Elemente gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• MISP
• Microsoft Defender-Endpunkt
• Shodan
• RiskIQ
• WHOIS
• WHOIS umkehren

Die Sichtungssuche verwendet die Datums- und Uhrzeithäufigkeit als allgemeine Eingaben für mehrere Implementierungen von Splunk und anderen Integrationen.

Dieser Bildschirm wird dem Sicherheitsanalysten angezeigt, um Datums- und Uhrzeitfrequenzen zu erfassen.

Für Integrationen, die diese Eingaben nicht erfordern, z. B. FireEye HX, werden sie ignoriert. Nachdem Sie eine oder mehrere Implementierungen ausgewählt und allgemeine Eingaben bereitgestellt haben, kann der Sicherheitsanalyst die Aktion übermitteln.

• Splunk-Incident-Anreicherung
• Carbon Black
• Elastische Suche
• FireEye HX
• McAfee ESM
• MSFT Defender für Endpunkt
• Splunk-Sichtung
• Qradar-Sichtungssuche
• MISP

„An Sandbox senden“ verwendet verschiedene Eingaben für verschiedene Implementierungen. Für diese Fähigkeit sind derzeit keine allgemeinen Eingaben vorhanden.

Wenn der Analyst beispielsweise CrowdStrike Falcon X Quick Scan, CrowdStrike Falcon X Windows 64, CrowdStrike Falcon X Linux und Zscaler auswählt, variieren die Eingaben. CrowdStrike Falcon X Quick Scan und Zscaler benötigen keine weiteren Laufzeiteingaben. CrowdStrike Falcon X Windows 64 verwendet optionale Laufzeiteingaben, die sich von CrowdStrike Falcon X Linux unterscheiden. Daher können diese in Bildschirm 3 speziell für einzelne ausgewählte Implementierungen bereitgestellt werden.

• CrowdStrike Falcon X Sandbox-Integration
• Security Incident Response-Integration mit Zscaler

Es gibt keine allgemeinen oder implementierungsspezifischen Eingaben, die für gelten In Beobachtungsliste veröffentlichen .

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

Es gibt keine allgemeinen oder implementierungsspezifischen Eingaben, die für gelten Anforderung Zulassen/Blockieren .

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• Palo Alto-Netzwerk NGFW
• Prüfpunkt NGFW
• Security Incident Response-Integration mit Zscaler

Es gibt keine allgemeinen oder implementierungsspezifischen Eingaben, die für das Abrufen von Hostdetails gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• FireEye HX
• Microsoft Defender für Endpunkt

„Datei abrufen“ nimmt den Dateinamen und den Pfad als allgemeine Eingaben an. Nachdem Sie eine oder mehrere Implementierungen ausgewählt und allgemeine Eingaben bereitgestellt haben, kann der Sicherheitsanalyst die Aktion übermitteln.

Es gibt keine allgemeinen oder implementierungsspezifischen Eingaben, die für das Abrufen von Netzwerkstatistiken gelten. Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• FireEye HX
• Netstat

Es gibt keine allgemeinen oder implementierungsspezifischen Eingaben, die für das Abrufen laufender Prozesse gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• FireEye HX
• Carbon Black
• Systembefehl

Es gibt keine allgemeinen oder implementierungsspezifischen Eingaben, die für das Abrufen laufender Services gelten.

Daher wird dem Analyst nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Analyst die Aktion übermitteln.

Host isolieren/Host-Isolation aufheben verwendet verschiedene Eingaben für verschiedene Implementierungen.

Für diese Fähigkeit sind derzeit keine allgemeinen Eingaben vorhanden. Wenn der Analyst beispielsweise FireEye HX und Microsoft Defender für Endpunkt auswählt, variieren die Eingaben.

FireEye HX benötigt keine Laufzeiteingaben. Andererseits verwendet Microsoft Defender Eingaben wie Isolationstyp und Kommentare.

Daher können diese in Bildschirm 3 speziell für einzelne ausgewählte Implementierungen bereitgestellt werden.

• FireEye HX
• Microsoft Defender-Endpunkt
• Carbon Black

Zusätzliche Aktionen ausführen Host verwendet verschiedene Eingaben für verschiedene Implementierungen. Für diese Fähigkeit sind derzeit keine allgemeinen Eingaben vorhanden.

Wenn der Analyst beispielsweise FireEye HX Standard Investigative Details Script, FireEye HX Triage Acquisition und CrowdStrike Falcon Insight Reg. entladen auswählt, variieren die Eingaben.

FireEye HX Standard Investigative Details Skript und FireEye HX Selektierung Akquisition nehmen Kommentare als Eingabe, die für beide unterschiedlich sein können. Für das Entladen der CrowdStrike Falcon Insight-Registrierung wird der Unterschlüssel als Eingabe verwendet.

• FireEye HX
• Microsoft Defender für Endpunkt
• Crowdstrike Falcon Insight