Options d’expérience unifiée et écrans modaux
Le tableau ci-dessous décrit les options et les écrans applicables.
| Aptitude | Écrans de cadres de travail UX applicables | Intégrations prises en charge |
|---|---|---|
| Exécuter une recherche de menace | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Exécuter la recherche de menace. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité sera en mesure de soumettre l’action. |
|
| Exécuter l'enrichissement de l'élément observable | Seul l’écran 1 – Sélectionner des implémentations est applicable Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Exécuter l’enrichissement de l’élément observable. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité sera en mesure de soumettre l’action. |
|
| Exécuter la recherche de perception/Exécuter la recherche de perception sur le Web/Exécuter la recherche de perception des e-mails | Écran 1 – Sélectionner les implémentations et Écran 2 – Entrées communes sont applicables. La recherche de perception utilise la date et la fréquence de l’heure comme entrées communes dans plusieurs implémentations de Splunk et d’autres intégrations. Cet écran est présenté à l’analyste de sécurité pour capturer les fréquences de date et d’heure. Pour les intégrations qui ne nécessitent pas ces entrées, par exemple FireEye HX, elles seront ignorées. Après avoir sélectionné une ou plusieurs implémentations et fourni des entrées communes, l’analyste de sécurité sera en mesure de soumettre l’action. |
|
| Soumettre à Sandbox (bac à sable) | Écran 1 – Sélectionnez Implémentations et Écran 3 – Les entrées spécifiques à l’implémentation sont applicables. L’envoi au bac à sable (sandbox) utilise différentes entrées pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette aptitude. Par exemple, lorsque l’analyste sélectionne Crowdstrike Falcon X Quick Scan, Crowdstrike Falcon X Windows 64, Crowdstrike Falcon X Linux et Zscaler, les entrées varient. Crowdstrike Falcon X Quick scan et Zscaler n’ont pas besoin d’autres entrées de temps d’exécution. Crowdstrike Falcon X Windows 64 prend des entrées d’exécution facultatives qui diffèrent de Crowdstrike Falcon X Linux. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement pour les mises en œuvre sélectionnées individuellement, le cas échéant. |
|
| Publier dans la liste de surveillance | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Publier dans la liste de surveillance. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité sera en mesure de soumettre l’action. |
Hôte Crowdstrike Falcon |
| Demande d'autorisation/de blocage | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour la demande d’autorisation/de blocage. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité sera en mesure de soumettre l’action. |
|
| Obtenir les détails de l'hôte | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou spécifiques à l’implémentation applicables pour obtenir les détails de l’hôte. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité sera en mesure de soumettre l’action. |
|
| Obtenir un fichier | Écran 1 – Sélectionner les implémentations et Écran 2 – Entrées communes sont applicables. Obtenir un fichier utilise le nom de fichier et le chemin d’accès comme entrées courantes. Après avoir sélectionné une ou plusieurs implémentations et fourni des entrées communes, l’analyste de sécurité sera en mesure de soumettre l’action. |
FireEye HX |
| Obtenir les statistiques réseau | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir les statistiques réseau. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité sera en mesure de soumettre l’action. |
|
| Obtenir les processus en cours d'exécution | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Obtenir l’exécution des processus. Ainsi, seul l’écran 1 est présenté à l’analyste de sécurité pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste de sécurité sera en mesure de soumettre l’action. |
|
| Obtenir les services d'exécution | Seul l’écran 1 – Sélectionner les implémentations est applicable. Il n’existe pas d’entrées communes ou d’entrées spécifiques à l’implémentation applicables pour Exécuter les services. Ainsi, seul l’écran 1 est présenté à l’analyste pour sélectionner une ou plusieurs implémentations. Après avoir sélectionné les implémentations, l’analyste sera en mesure de soumettre l’action. |
FireEye HX |
| Isoler l’hôte/Annuler l’isolement de l’hôte | Écran 1 – Sélectionnez Implémentations et Écran 3 – Les entrées spécifiques à l’implémentation sont applicables. Isoler l’hôte/Annuler l’isolement de l’hôte utilise différentes entrées pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette aptitude. Par exemple, lorsque l’analyste sélectionne FireEye HX et Microsoft Defender for Endpoint, les entrées varient. FireEye HX n’a pas besoin d’entrées de temps d’exécution. D’autre part, Microsoft Defender prend des entrées telles que le type d’isolement et les commentaires. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement pour les mises en œuvre sélectionnées individuellement, le cas échéant. |
|
| Exécuter des actions supplémentaires | Écran 1 – Sélectionnez Implémentations et Écran 3 – Les entrées spécifiques à l’implémentation sont applicables. Exécuter des actions supplémentaires L’hôte utilise différentes entrées pour différentes implémentations. Il n’existe actuellement aucune entrée commune pour cette aptitude. Par exemple, lorsque l’analyste sélectionne le script FireEye HX Standard Investigative Details, FireEye HX Triage Acquisition et Crowdstrike Falcon Insight reg unload, les entrées varient. Le script Détails d’enquête standard FireEye HX et l’acquisition de triage FireEye HX prennent en compte les commentaires comme entrée qui peuvent être différents pour les deux. Le déchargement de l’inscription de Crowdstrike Falcon Insight prend Subkey comme entrée. Ainsi, ceux-ci peuvent être fournis dans l’écran 3 spécifiquement pour les mises en œuvre sélectionnées individuellement, le cas échéant.
Remarque : Ne prend actuellement en charge qu’une seule sélection d’implémentation. Dans les versions futures, la sélection multiple d’implémentations sera prise en charge. |
|