Bagikan melalui


Membandingkan buku kerja, playbook, dan buku catatan

Buku kerja, playbook, dan buku catatan adalah sumber daya utama di Microsoft Azure Sentinel yang membantu Anda mengotomatiskan respons, memvisualisasikan data, dan menganalisis data. Terkadang mungkin sulit untuk melacak jenis sumber daya mana yang tepat untuk tugas Anda.

Artikel ini membantu membedakan antara buku kerja, playbook, dan notebook di Microsoft Azure Sentinel:

  • Setelah Anda menyambungkan sumber data Anda ke Microsoft Azure Sentinel, visualisasikan dan pantau data menggunakan buku kerja di Microsoft Azure Sentinel. Buku kerja Microsoft Azure Sentinel didasarkan pada buku kerja Azure Monitor, dan menambahkan tabel dan bagan dengan analitik untuk log dan kueri Anda ke alat yang sudah tersedia di Azure.
  • Notebook Jupyter di Microsoft Azure Sentinel adalah alat yang ampuh untuk penyelidikan dan perburuan keamanan, memberikan kemampuan pemrograman penuh dengan kumpulan pustaka yang besar untuk pembelajaran mesin, visualisasi, dan analisis data. Meskipun banyak tugas umum yang dapat dilakukan di portal, Jupyter memperluas cakupan kemampuan Anda dengan data ini.
  • Gunakan playbook Microsoft Sentinel untuk menjalankan serangkaian tindakan remediasi yang telah dikonfigurasi sebelumnya untuk membantu mengotomatiskan dan mengatur respons ancaman Anda.

Bandingkan dengan persona

Tabel berikut membandingkan playbook, buku kerja, dan buku catatan Microsoft Azure Sentinel dengan persona pengguna:

Sumber daya Deskripsi
Buku Kerja
  • Teknisi SOC
  • Analis dari semua tingkatan
Notebooks
  • Pemburu ancaman dan analis Tingkat 2/Tingkat 3
  • Penyelidik insiden
  • Ilmuwan data
  • Peneliti keamanan
Playbook
  • Teknisi SOC
  • Analis dari semua tingkatan

Bandingkan berdasarkan penggunaan

Tabel berikut membandingkan playbook, buku kerja, dan buku catatan Microsoft Azure Sentinel berdasarkan kasus penggunaan:

Sumber daya Deskripsi
Playbook Automasi tugas-tugas sederhana dan berulang:
  • Menyerap data eksternal
  • Pengayaan data dengan TI, pencarian GeoIP, dan banyak lagi
  • Penyelidikan
  • Perbaikan
Notebooks
  • Mengkueri data Microsoft Azure Sentinel dan data eksternal
  • Pengayaan data dengan pencarian TI, GeoIP, dan pencarian WhoIs, dan banyak lagi
  • Penyelidikan
  • Visualisasi
  • Perburuan
  • Pembelajaran mesin dan analitik big data
Buku Kerja
  • Visualisasi

Bandingkan berdasarkan keuntungan dan tantangan

Tabel berikut membandingkan kelebihan dan kekurangan playbook, buku kerja, dan buku catatan di Microsoft Azure Sentinel:

Sumber daya Kelebihan Tantangan
Playbook
  • Terbaik untuk tugas tunggal yang dapat diulang
  • Tidak diperlukan pengetahuan pengkodean
  • Tidak cocok untuk rantai tugas ad-hoc dan kompleks
  • Tidak ideal untuk mendokumentasikan dan berbagi bukti
Notebooks
  • Terbaik untuk rantai kompleks tugas yang dapat diulang
  • Kontrol ad-hoc yang lebih prosedural
  • Lebih mudah dipivot dengan fungsionalitas interaktif
  • Pustaka Python yang kaya untuk manipulasi dan visualisasi data
  • Pembelajaran mesin dan analisis kustom
  • Mudah didokumen dan berbagi bukti analisis
  • Kurva pembelajaran tinggi dan membutuhkan pengetahuan pengkodian
Buku Kerja
  • Terbaik untuk tampilan tingkat tinggi data Microsoft Azure Sentinel
  • Tidak perlu pengetahuan coding
  • Tidak dapat diintegrasikan dengan data eksternal