Estrutura de experiência unificada para integrações fornecidas pelo Capability Framework
Na IU clássica, a experiência é separada ao executar atividades de orquestração, como executar pesquisa de ameaças, executar pesquisa de detecções e assim por diante. Cada capacidade tem sua própria experiência ao executá-la. No novo espaço, há uma experiência unificada em todas as capacidades.
A experiência unificada é aplicável somente para as integrações e atividades de orquestração que se enquadram na estrutura de capacidades. Pode haver ações específicas para integração, por exemplo, Criar indicadores no Microsoft Defender. Essas ações terão sua própria experiência conforme exigido pelo caso de uso.
A nova estrutura consiste em telas modais com três etapas, conforme explicado abaixo.
- Implementações: a primeira etapa envolve a seleção de uma ou mais implementações que estão presentes em relação à capacidade selecionada.
Por exemplo, quando o analista clicar em Executar pesquisa de ameaças, o analista poderá selecionar uma ou mais implementações que estão presentes para a capacidade Executar pesquisa de ameaças.
Cada implementação terá os detalhes da origem da integração. Consulte a tabela abaixo. Informações adicionais também são apresentadas em relação a cada implementação.
As informações adicionais podem incluir, por exemplo, informações sobre filtros, tipos de observáveis compatíveis etc. As informações adicionais podem ser configuradas conforme desejado. Para obter mais informações, consulte o procedimento de configuração técnica da estrutura de UX.
Tabela 1. Modal da Estrutura de implementação unificada Implementação Descrição Nome Nome da implementação. Origem da Integração A origem da implementação, como a configuração que está sendo usada. Informações adicionais Esta coluna captura as informações estáticas que adicionam mais contexto ao analista de segurança em relação às implementações selecionadas para prosseguir com uma ação. Por exemplo, suporte ou informações filtradas. Além disso, se uma implementação oferecer suporte apenas a um determinado tipo de observáveis, como Domínio ou URL, você poderá adicionar essas informações adicionais aqui nesta coluna para fornecer o contexto ao usuário. Nota:A estrutura de IU basicamente permitiria a seleção de qualquer tipo de implementação e qualquer tipo de observável. Durante o envio, as integrações do sistema de base existentes que são enviadas cuidarão da filtragem no back-end e enviarão somente o tipo compatível de observáveis. O restante dos registros que não correspondem à capacidade de suporte será ignorado. Portanto, uma mensagem de informações de IU é exibida enquanto você seleciona a capacidade: Somente registros compatíveis serão enviados em relação às implementações selecionadas.Figura 1. Tela 1: Implementação(ões) - Entradas comuns: adicione entradas comuns para as implementações selecionadas ou para todas as implementações aplicáveis selecionadas. Esta é a tela 2 da sua implementação. Por exemplo, a partir de agora, somente a Pesquisa de detecções tem a tela de entradas comuns. Esta implementação é uma combinação da tela 1 (implementações) e da tela 2 (entradas comuns).
Figura 2. Tela 1 + Tela 2 - Detalhes do tempo de execução: adicione entradas de tempo de execução específicas para as implementações selecionadas que são diferentes umas das outras. Esta é a tela 3 da sua implementação. Esta implementação é uma combinação da tela 1 (Implementações) e da tela 3 (entradas de tempo de execução específicas).
Figura 3. Entradas específicas