Es gibt keine allgemeinen oder Implementierungsspezifischen Eingaben, die für die Ausführung der Bedrohungssuche gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• Viren insgesamt
• Hybrid Analysis
• Security Incident Response Integration with Zscaler
• Phistanker
• Metadefender
• Bedrohungsmenge
• Wurde ich verpfändet?
• CrowdStrike Falcon Intelligence

Es gibt keine allgemeinen oder Implementierungsspezifischen Eingaben, die für die Ausführung der Anreicherung erkennbarer Elemente gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• MISP
• Microsoft Defender-Endpunkt
• Shodan
• RiskIQ
• WHOIS
• WHOIS umkehren

Die Sichtungssuche verwendet Datum und Uhrzeit (Häufigkeit) als allgemeine Eingaben für mehrere Implementierungen von Splunk und anderen Integrationen.

Dieser Bildschirm wird dem Sicherheitsanalysten angezeigt, um Datums- und Uhrzeithäufigkeiten zu erfassen.

Bei Integrationen, die diese Eingaben nicht erfordern, z. B. FireEye HX, werden sie ignoriert. Nachdem er eine oder mehrere Implementierungen ausgewählt und allgemeine Eingaben gemacht hat, kann der Sicherheitsanalyst die Aktion übermitteln.

• Splunk-Incident-Ergänzung
• Carbon Black
• Elasticsearch
• FireEye HX
• McaFee ESM
• MSFT Defender für Endpunkt
• Splunk-Sichtung
• Qradar-Sichtungssuche
• MISP

„An die Sandbox übermitteln“ benötigt unterschiedliche Eingaben für unterschiedliche Implementierungen. Für diese Fähigkeit sind derzeit keine allgemeinen Eingaben vorhanden.

Wenn der Analyst beispielsweise Crowdstrike Falcon X Quick Scan, Crowdstrike Falcon X Windows 64, Crowdstrike Falcon X Linux und Zscaler auswählt, variieren die Eingaben. Crowdstrike Falcon X Quick Scan und Zscaler benötigen keine weiteren Laufzeiteingaben. Crowdstrike Falcon X Windows 64 akzeptiert optionale Laufzeiteingaben, die sich von Crowdstrike Falcon X Linux unterscheiden. Daher können diese in Bildschirm 3 gegebenenfalls speziell für einzelne ausgewählte Implementierungen bereitgestellt werden.

• CrowdStrike Falcon X Sandbox-Integration
• Security Incident Response Integration with Zscaler

Es gibt keine allgemeinen oder Implementierungsspezifischen Eingaben, die für In Beobachtungsliste veröffentlichengelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

Es gibt keine allgemeinen Eingaben oder Implementierungsspezifischen Eingaben, die für die Zulassungs-/Blockierungsanforderunggelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• Palo Alto Network NGFW
• Prüfpunkt NGFW
• Security Incident Response Integration with Zscaler

Es gibt keine allgemeinen oder Implementierungsspezifischen Eingaben für „Hostdetails abrufen“.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• FireEye HX
• Microsoft Defender für Endpunkt

„Datei abrufen“ verwendet Dateiname und Pfad als allgemeine Eingaben. Nachdem er eine oder mehrere Implementierungen ausgewählt und allgemeine Eingaben gemacht hat, kann der Sicherheitsanalyst die Aktion übermitteln.

Es gibt keine allgemeinen oder Implementierungsspezifischen Eingaben für „Netzwerkstatistiken abrufen“. Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• FireEye HX
• NetStat

Es gibt keine allgemeinen oder Implementierungsspezifischen Eingaben, die für „Laufende Prozesse abrufen“ gelten.

Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Sicherheitsanalyst die Aktion übermitteln.

• FireEye HX
• Carbon Black
• Systembefehl

Es gibt keine allgemeinen oder implementieren spezifischen Eingaben, die für „Laufende Services abrufen“ gelten.

Daher wird dem Analysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nach Auswahl der Implementierungen kann der Analyst die Aktion übermitteln.

„Host isolieren“/„Isolierung des Hosts aufheben“ akzeptiert unterschiedliche Eingaben für verschiedene Implementierungen.

Für diese Fähigkeit sind derzeit keine allgemeinen Eingaben vorhanden. Wenn der Analyst beispielsweise FireEye HX und Microsoft Defender für Endpunkt auswählt, variieren die Eingaben.

FireEye HX benötigt keine Laufzeiteingaben. Microsoft Defender hingegen akzeptiert Eingaben wie Isolationstyp und Kommentare.

Daher können diese in Bildschirm 3 gegebenenfalls speziell für einzelne ausgewählte Implementierungen bereitgestellt werden.

• FireEye HX
• Microsoft Defender-Endpunkt
• Carbon Black

Der Host „Zusätzliche Aktionen ausführen“ akzeptiert unterschiedliche Eingaben für unterschiedliche Implementierungen. Für diese Fähigkeit sind derzeit keine allgemeinen Eingaben vorhanden.

Wenn der Analyst beispielsweise „FireEye HX Standard Untersuchungsdetailskript“, „FireEye HX Triage Acquisition“ und „Crowdstrike Falcon Insight reg. unload“ auswählt, variieren die Eingaben.

Das FireEye HX-Standardskript für Untersuchungsdetails und die FireEye HX-Selektierungsakquisition verwenden Kommentare als Eingabe, die für beide unterschiedlich sein können. Das reguläre Entladen von Crowdstrike Falcon Insight verwendet Unterschlüssel als Eingabe.

• FireEye HX
• Microsoft Defender für Endpunkt
• Crowdstrike Falcon Insight