A capacidade Bloquear Ação bloqueia observáveis associados a um incidente de segurança em um firewall, proxy da Web ou outro ponto de controle usando fluxos de implementação. Esta capacidade é usada durante as investigações de resposta do incidente para conter uma ameaça identificada.

A capacidade Solicitação de bloqueio tem um fluxo, Integração de Operações de segurança - Bloquear fluxo de solicitação, que executa a solicitação para bloquear. Este fluxo aceita uma lista de observáveis, encontra todos os recursos de implementação e executa a solicitação com base no fluxo configurado.