A capacidade Aprimorar observável permite aprimorar observáveis com informações adicionais de várias fontes usando fluxos de implementação. Esta capacidade é usada durante as investigações de resposta do incidente para conter uma ameaça identificada.

A capacidade Aprimorar observável tem um fluxo, Integração de Operações de segurança - Aprimorar fluxo de observável. Quando o fluxo de capacidade é executado, ele executa fluxos adicionais para as implementações ativadas. Você pode especificar uma implementação a ser usada para executar o enriquecimento nos observáveis selecionados ou pode executar o enriquecimento usando todas as implementações que correspondem aos tipos de observável compatíveis.