A capacidade Aprimorar observável permite aprimorar observáveis com informações adicionais de várias fontes usando fluxos de trabalho de implementação. Essa capacidade é usada durante as investigações de resposta do incidente com uma ameaça identificada.

A capacidade Aprimorar observável tem um fluxo de trabalho, Integração de Operações de segurança - fluxo de trabalho Enriquecer observável. Quando o fluxo de trabalho de capacidade é executado, ele executa fluxos de trabalho adicionais para as implementações ativadas. Você pode especificar uma implementação a ser usada para executar o enriquecimento nos observáveis selecionados ou pode executar o enriquecimento usando todas as implementações que correspondem aos tipos de observável compatíveis.