L’aptitude Bloquer l’action bloque les observables associés à un incident de sécurité sur un pare-feu, un proxy web ou tout autre point de contrôle à l’aide de flux de mise en œuvre. Cette fonctionnalité est utilisée lors des enquêtes de réponse aux incidents pour contenir une menace identifiée.

L’aptitude Demande de bloc a un flux, Security Operations Integration - Bloquer le flux de demande, qui exécute la demande de blocage. Ce flux accepte une liste d’observables, recherche toutes les options d’implémentation et exécute la demande en fonction du flux configuré.