Options d’expérience unifiée et écrans modaux
Le tableau suivant décrit les options et les écrans applicables.
| Aptitude | Écrans des cadres de travail UX applicables | Intégrations prises en charge |
|---|---|---|
| Exécuter une recherche de menace | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Exécuter une recherche de menace. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité est en mesure de soumettre l’action. |
|
| Exécuter l'enrichissement de l'élément observable | Seul l’écran 1 – Sélectionner des implémentations est applicable Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Exécuter l’enrichissement des observables. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité est en mesure de soumettre l’action. |
|
| Exécuter la recherche de perception/Exécuter la recherche de perception Web/Exécuter la recherche de perception par e-mail | Écran 1 – Sélectionner les implémentations et Écran 2 – Entrées communes sont applicables. La recherche de perception utilise la fréquence de date et d’heure comme entrées communes dans plusieurs implémentations de Splunk et d’autres intégrations. Cet écran sera présenté à l’analyste de sécurité pour capturer les fréquences de date et d’heure. Pour les intégrations qui ne nécessitent pas ces entrées, par exemple FireEye HX, elles seront ignorées. Après avoir sélectionné une ou plusieurs implémentations et fourni des entrées communes, l’analyste de sécurité est en mesure de soumettre l’action. |
|
| Soumettre au bac à sable (sandbox) | Écran 1 – Sélectionner les implémentations et Écran 3 – Les entrées spécifiques à l’implémentation sont applicables. Soumettre au bac à sable (sandbox) prend différentes entrées pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette aptitude. Par exemple, lorsque l’analyste sélectionne Crowdstrike Falcon X Quick Scan, Crowdstrike Falcon X Windows 64, Crowdstrike Falcon X Linux et Zscaler, les entrées varient. L’analyse rapide Crowdstrike Falcon X et Zscaler n’ont pas besoin d’autres entrées de temps d’exécution. Crowdstrike Falcon X Windows 64 prend en charge des entrées d’exécution facultatives qui diffèrent de celles de Crowdstrike Falcon X Linux. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement pour les implémentations sélectionnées individuelles, le cas échéant. |
|
| Publier dans la liste de surveillance | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour la publication dans la liste de surveillance. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité est en mesure de soumettre l’action. |
Hôte Crowdstrike Falcon |
| Demande d'autorisation/de blocage | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour les demandes d’autorisation/de blocage. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité est en mesure de soumettre l’action. |
|
| Obtenir les détails de l'hôte | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir les détails de l’hôte. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité est en mesure de soumettre l’action. |
|
| Obtenir un fichier | Écran 1 – Sélectionner les implémentations et Écran 2 – Entrées communes sont applicables. Obtenir un fichier prend le nom du fichier et le chemin d’accès comme entrées courantes. Après avoir sélectionné une ou plusieurs implémentations et fourni des entrées communes, l’analyste de sécurité est en mesure de soumettre l’action. |
FireEye HX |
| Obtenir les statistiques réseau | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir des statistiques réseau. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité est en mesure de soumettre l’action. |
|
| Obtenir l'exécution des processus | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour l’exécution des processus. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité est en mesure de soumettre l’action. |
|
| Obtenir les services d'exécution | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir les services d’exécution. Ainsi, seul l’écran 1 est présenté à l’analyste pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste est en mesure de soumettre l’action. |
FireEye HX |
| Isoler l’hôte/Ne pas isoler l’hôte | Écran 1 – Sélectionner les implémentations et Écran 3 – Les entrées spécifiques à l’implémentation sont applicables. Isoler l’hôte/Ne pas isoler l’hôte prend des entrées différentes pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette aptitude. Par exemple, lorsque l’analyste sélectionne FireEye HX et Microsoft Defender pour point de terminaison, les entrées varient. FireEye HX n’a pas besoin d’entrées d’exécution. D’autre part, Microsoft Defender accepte des entrées telles que le type d’isolement et les commentaires. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement pour les implémentations sélectionnées individuelles, le cas échéant. |
|
| Exécuter des actions supplémentaires | Écran 1 – Sélectionner les implémentations et Écran 3 – Les entrées spécifiques à l’implémentation sont applicables. Exécuter des actions supplémentaires L’hôte prend différentes entrées pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette aptitude. Par exemple, lorsque l’analyste sélectionne le script FireEye HX Standard Investigative Details, l’acquisition de triage FireEye HX et le déchargement d’enregistrement de Crowdstrike Falcon Insight, les entrées varient. Le script FireEye HX Standard Investigative Details et l’acquisition de triage FireEye HX prennent les commentaires comme entrée qui peuvent être différents pour les deux. La décharge d’inscription de Crowdstrike Falcon Insight prend la sous-clé comme entrée. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement pour les implémentations sélectionnées individuelles, le cas échéant.
Remarque : Prend actuellement en charge une seule sélection d’implémentation. Dans les versions futures, plusieurs sélections d’implémentation seront prises en charge. |
|