Comparer des playbooks, des classeurs et des notebooks
-
Article
-
-
Cet article décrit les différences entre les playbooks, les classeurs et les notebooks dans Microsoft Sentinel.
Comparer par personnage
Le tableau suivant compare les playbooks, classeurs et notebooks Microsoft Sentinel par personnage utilisateur :
| Ressource |
Description |
| Playbooks |
- Ingénieurs du SOC
- Analystes de tous les niveaux
|
| Classeurs |
- Ingénieurs du SOC
- Analystes de tous les niveaux
|
| Blocs-notes |
- Chasseurs de menaces et analystes de niveau 2 ou 3
- Enquêteurs sur les incidents
- Scientifiques des données
- Chercheurs en sécurité
|
Comparer par usage
Le tableau suivant compare les playbooks, classeurs et notebooks Microsoft Sentinel par cas d’usage :
| Ressource |
Description |
| Playbooks |
Automatisation des tâches simples et reproductibles :- Ingestion de données externes
- Enrichissement de données avec TI, recherches GeoIP et plus encore
- Investigation
- Correction
|
| Classeurs |
|
| Blocs-notes |
- Interrogation des données Microsoft Sentinel et des données externes
- Enrichissement de données avec TI, recherches GeoIP, recherches WhoIs et plus encore
- Investigation
- Visualisation
- Chasse
- Machine Learning et analytique du Big Data
|
Comparer par avantages et défis
Le tableau suivant compare les avantages et inconvénients des playbooks, classeurs et notebooks dans Microsoft Sentinel :
| Ressource |
Avantages |
Défis |
| Playbooks |
- Idéal pour les tâches uniques et reproductibles
- Aucune connaissance en codage n’est requise
|
- Non adapté aux chaînes ad hoc et complexes de tâches
- Ne convient pas à la documentation et au partage de preuves
|
| Classeurs |
- Idéal pour une vue élémentaire des données Microsoft Sentinel
- Aucune connaissance en codage n’est requise
|
- Intégration à des données externes impossible
|
| Blocs-notes |
- Idéal pour les chaînes complexes de tâches reproductibles
- Contrôle ad hoc, plus procédural
- Ajout plus facile d’un tableau croisé dynamique grâce aux fonctionnalités interactives
- Bibliothèques Python riches pour la manipulation et la visualisation des données
- Machine Learning et analyse personnalisée
- Facilité de documentation et de partage des preuves d’analyse
|
- La courbe d’apprentissage est élevée et nécessite des connaissances en codage
|
Contenu connexe
Pour plus d’informations, consultez l’article suivant :