比较 playbook、工作簿和笔记本

本文说明了 Microsoft Sentinel 中的 playbook、工作簿和笔记本之间的区别。

按角色进行比较

下表按用户角色比较了 Microsoft Sentinel playbook、工作簿和笔记本：

资源	说明
演练手册	SOC 工程师所有层级的分析师
工作簿	SOC 工程师所有层级的分析师
Notebook	威胁搜寻者和第 2 层/第 3 层分析师事件调查者数据科学家安全研究人员

下表按用例比较了 Microsoft Sentinel playbook、工作簿和笔记本：

资源	说明
演练手册	自动完成简单的可重复任务：引入外部数据使用 TI、GeoIP 查找等功能进行数据扩充调查补救
工作簿	可视化效果
Notebook	查询 Microsoft Sentinel 数据和外部数据使用 TI、GeoIP 查找、WhoIs 查找等功能进行数据扩充调查可视化搜寻机器学习和大数据分析

下表比较了 Microsoft Sentinel 中 playbook、工作簿和笔记本的优点和缺点：

资源	优点	挑战
演练手册	最适合单个可重复任务无需编码知识	不适合临时的和复杂的任务链不适合记录和共享证据
工作簿	最适合 Microsoft Sentinel 数据的概要视图无需编码知识	无法与外部数据集成
Notebook	最适合复杂的可重复任务链临时使用，更多过程控制可以使用交互功能更轻松地进行透视丰富的 Python 库，适用于数据操作和可视化机器学习和自定义分析易于记录和共享分析证据	跨越式的学习曲线，需要编码知识

有关详细信息，请参阅：