ブック、プレイブック、ノートブックを比較する
- [アーティクル]
-
-
ブック、プレイブック、ノートブックは、それぞれ応答の自動化、データの視覚化、データの分析に役立つ Microsoft Sentinel の重要なリソースです。 タスクに適したリソースの種類を追跡するのが難かしい場合があります。
この記事は、Microsoft Sentinel でのブック、プレイブック、ノートブックを区別するのに役立ちます。
次の表では、Microsoft Sentinel のプレイブック、ブック、ノートブックをユーザーのペルソナによって比較しています。
リソース |
説明 |
ブック |
|
ノートブック |
- 脅威の検出者と Tier-2/Tier-3 アナリスト
- インシデント調査担当者
- データ サイエンティスト
- セキュリティ研究者
|
プレイブック |
|
次の表では、Microsoft Sentinel のプレイブック、ブック、ノートブックをユース ケースによって比較しています。
リソース |
説明 |
プレイブック |
単純で反復可能なタスクの自動化:- 外部データの取り込み
- TI や GeoIP 検索などを使用したデータ エンリッチメント
- 調査
- Remediation
|
ノートブック |
- Microsoft Azure Sentinel データおよび外部データに対するクエリ
- TI、GeoIP 検索、WhoIs 検索などを使用したデータ エンリッチメント
- 調査
- グラフ
- 検出
- 機械学習とビッグ データ分析
|
ブック |
|
次の表では、Microsoft Azure Sentinel でのプレイブック、ブック、ノートブックの長所と短所を比較しています。
リソース |
長所 |
課題 |
プレイブック |
- 単一の反復可能なタスクに最適
- コーディングのスキルは不要
|
- アドホックで複雑なタスク チェーンには適していない
- 証拠の文書化と共有には適していない
|
ノートブック |
- 反復可能なタスクの複雑なチェーンに最適
- アドホックでより手続き型の制御
- 対話機能を使用したピボットがさらに容易に
- データの操作および視覚化のための Python ライブラリが豊富
- 機械学習とカスタム分析
- 分析証拠の文書化および共有が簡単
|
|
ブック |
- Microsoft Azure Sentinel データの概要に最適
- コーディングのスキルは不要
|
|