Vergleich von Playbooks, Arbeitsmappen und Notebooks
-
Artikel
-
-
Dieser Artikel beschreibt die Unterschiede zwischen Playbooks, Arbeitsmappen und Notebooks in Microsoft Sentinel.
Vergleichen nach Persona
In der folgenden Tabelle werden Microsoft Sentinel-Playbooks, Arbeitsmappen und Notebooks nach Benutzer-Persona verglichen:
Resource |
Beschreibung |
Playbooks |
- SOC-Techniker*in
- Analyst*innen aller Ebenen
|
Arbeitsmappen |
- SOC-Techniker*in
- Analyst*innen aller Ebenen
|
Notebooks |
- Bedrohungssucher und Ebene-2/Ebene-3-Analysten
- Zwischenfallermittler
- Datenanalysten
- Sicherheitsforscher
|
Vergleichen nach Verwendung
In der folgenden Tabelle werden Microsoft Sentinel-Playbooks, Arbeitsmappen und Notebooks nach Anwendungsfall verglichen:
Resource |
Beschreibung |
Playbooks |
Automatisierung von einfachen, wiederholbaren Aufgaben:- Erfassung externer Daten
- Datenanreicherung mit Tl, GeoIP-Lookups und mehr
- Untersuchung
- Wiederherstellung
|
Arbeitsmappen |
|
Notebooks |
- Abfrage von Microsoft Sentinel- und externen Daten
- Datenanreicherung mit Tl, GeoIP-Lookups und Whois-Lookups und mehr
- Untersuchung
- Visualisierung
- Suche
- Maschinelles Lernen und Big-Data-Analyse
|
Vergleich von Vorteilen und Herausforderungen
In der folgenden Tabelle werden die Vor- und Nachteile von Playbooks, Arbeitsmappen und Notebooks in Microsoft Sentinel verglichen:
Resource |
Vorteile |
Herausforderungen |
Playbooks |
- Am besten geeignet für einzelne, wiederholbare Aufgaben
- Keine Kodierungskenntnisse erforderlich
|
- Nicht geeignet für ad-hoc und komplexe Aufgabenketten
- Nicht ideal zum Dokumentieren und Freigeben von Beweisen
|
Arbeitsmappen |
- Am besten geeignet für einen allgemeinen Überblick über Microsoft Sentinel-Daten
- Keine Kodierungskenntnisse erforderlich
|
- Kann nicht mit externen Daten integriert werden
|
Notebooks |
- Am besten für komplexe Ketten von wiederholbaren Aufgaben
- Ad-hoc, mehr prozedurale Kontrolle
- Leichteres Pivotieren mit interaktiven Funktionen
- Umfangreiche Python-Bibliotheken für die Datenmanipulation und -visualisierung
- Maschinelles Lernen und benutzerdefinierte Analysen
- Einfaches Dokumentieren und Freigeben von Analysebeweisen
|
- Hohe Lernkurve und erfordert Programmierkenntnisse
|
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: