比较 playbook、工作簿和笔记本

  • 项目

本文说明了 Microsoft Sentinel 中的 playbook、工作簿和笔记本之间的区别。

按角色进行比较

下表按用户角色比较了 Microsoft Sentinel playbook、工作簿和笔记本:

资源 说明
演练手册
  • SOC 工程师
  • 所有层级的分析师
工作簿
  • SOC 工程师
  • 所有层级的分析师
Notebook
  • 威胁搜寻者和第 2 层/第 3 层分析师
  • 事件调查者
  • 数据科学家
  • 安全研究人员

按使用进行比较

下表按用例比较了 Microsoft Sentinel playbook、工作簿和笔记本:

资源 说明
演练手册 自动完成简单的可重复任务:
  • 引入外部数据
  • 使用 TI、GeoIP 查找等功能进行数据扩充
  • 调查
  • 补救
工作簿
  • 可视化效果
Notebook
  • 查询 Microsoft Sentinel 数据和外部数据
  • 使用 TI、GeoIP 查找、WhoIs 查找等功能进行数据扩充
  • 调查
  • 可视化
  • 搜寻
  • 机器学习和大数据分析

按优势和挑战进行比较

下表比较了 Microsoft Sentinel 中 playbook、工作簿和笔记本的优点和缺点:

资源 优点 挑战
演练手册
  • 最适合单个可重复任务
  • 无需编码知识
  • 不适合临时的和复杂的任务链
  • 不适合记录和共享证据
工作簿
  • 最适合 Microsoft Sentinel 数据的概要视图
  • 无需编码知识
  • 无法与外部数据集成
Notebook
  • 最适合复杂的可重复任务链
  • 临时使用,更多过程控制
  • 可以使用交互功能更轻松地进行透视
  • 丰富的 Python 库,适用于数据操作和可视化
  • 机器学习和自定义分析
  • 易于记录和共享分析证据
  • 跨越式的学习曲线,需要编码知识

相关内容

有关详细信息,请参阅: