Estrutura de experiência unificada para integrações com tecnologia da Estrutura de capacidade
Na IU clássica, a experiência é desarticulada ao executar atividades de orquestração, como executar a aparência de ameaça, executar a pesquisa de vistas e assim por diante. Cada capacidade tem sua própria experiência ao executá-la. No novo espaço, há uma experiência unificada em todos os recursos.
A experiência unificada é aplicável somente às integrações e atividades de orquestração que se enquadram na estrutura de capacidade. Pode haver ações específicas para a integração, por exemplo, Criar indicadores no Microsoft Defender. Essas ações terão sua própria experiência, conforme exigido pelo caso de uso.
A nova estrutura consiste em telas modais com três etapas, conforme explicado abaixo.
- Implementações : A primeira etapa envolve a seleção de uma ou mais implementações presentes em relação à capacidade selecionada.
Por exemplo, quando o analista clica Executar Pesquisa de ameaças , O analista poderá selecionar uma ou mais implementações presentes para Executar recurso de pesquisa de ameaças .
Cada implementação terá os detalhes da origem de integração. Consulte a tabela abaixo. Informações adicionais também são apresentadas em relação a cada implementação.
Informações adicionais podem incluir, por exemplo, informações sobre quaisquer filtros, tipos de observáveis compatíveis etc. As Informações adicionais podem ser configuradas conforme desejado. Para obter mais informações, consulte o procedimento de configuração técnica da estrutura de UX.
Tabela 1. Modal da Estrutura de implementação unificada Implementação Descrição Nome Nome da implementação. Origem da Integração A origem da implementação, como a configuração que está sendo usada. Informações adicionais Esta coluna captura as informações estáticas que adicionam mais contexto ao analista de segurança em relação às implementações selecionadas para prosseguir com uma ação. Por exemplo, capacidade de suporte ou informações filtradas. Além disso, se uma implementação oferecer suporte a apenas um determinado tipo de observáveis, como Domínio ou URL, você poderá adicionar essas informações adicionais aqui nesta coluna para fornecer o contexto ao usuário. Nota:Basicamente, a estrutura de IU permitiria a seleção de qualquer tipo de implementação e qualquer tipo de observáveis. Durante o envio, as integrações do sistema de base existentes que são enviadas cuidarão da filtragem no back-end e enviarão somente o tipo compatível de observáveis. Os demais registros que não corresponderem à capacidade de suporte serão ignorados. Portanto, uma mensagem de informações de IU é exibida enquanto você seleciona a capacidade: Somente registros compatíveis serão enviados em relação às implementações selecionadas.Figura 1. Tela 1: Implementação(ões) - Entradas comuns : Adicione entradas comuns para as implementações selecionadas ou para todas as implementações aplicáveis selecionadas. Esta é a tela 2 da sua implementação. Somente a partir de agora Pesquisa de vistas tem a tela de entradas comuns. Esta implementação é uma combinação da tela 1 (implementações) e da tela 2 (entradas comuns).
Figura 2. Tela 1 e tela 2 - Detalhes do tempo de execução : Adicione entradas de tempo de execução específicas para as implementações selecionadas que são diferentes entre si. Esta é a tela 3 da sua implementação. Esta implementação é uma combinação da tela 1 (implementações) e da tela 3 (entradas de tempo de execução específicas).
Figura 3. Entradas específicas