次の方法で共有


ブック、プレイブック、ノートブックを比較する

ブック、プレイブック、ノートブックは、それぞれ応答の自動化、データの視覚化、データの分析に役立つ Microsoft Sentinel の重要なリソースです。 タスクに適したリソースの種類を追跡するのが難かしい場合があります。

この記事は、Microsoft Sentinel でのブック、プレイブック、ノートブックを区別するのに役立ちます。

  • データ ソースを Microsoft Sentinel に接続した後、Microsoft Sentinel のブックを使ってデータを可視化し、監視します。 Microsoft Sentinel のブックは、Azure Monitor のブックが基になっており、ログとクエリに関する分析機能を備えたテーブルとグラフを、Azure で既に使用できるツールに追加します。
  • Microsoft Sentinel の Jupyter ノートブックは、セキュリティ調査とハンティングのための強力なツールであり、完全なプログラミング機能と、機械学習、視覚化、データ解析のための膨大なライブラリ コレクションを備えています。 ポータルでは多くの一般的なタスクを実行できますが、Jupyter では、データに対して、より幅広い処理が可能です。
  • Microsoft Sentinel プレイブックを使用して、事前構成された一連の修復アクションを実行すると、脅威への対応を自動化および調整するのに役立ちます。

ペルソナによる比較

次の表では、Microsoft Sentinel のプレイブック、ブック、ノートブックをユーザーのペルソナによって比較しています。

リソース 説明
ブック
  • SOC エンジニア
  • すべてのレベルのアナリスト
ノートブック
  • 脅威の検出者と Tier-2/Tier-3 アナリスト
  • インシデント調査担当者
  • データ サイエンティスト
  • セキュリティ研究者
プレイブック
  • SOC エンジニア
  • すべてのレベルのアナリスト

用途による比較

次の表では、Microsoft Sentinel のプレイブック、ブック、ノートブックをユース ケースによって比較しています。

リソース 説明
プレイブック 単純で反復可能なタスクの自動化:
  • 外部データの取り込み
  • TI や GeoIP 検索などを使用したデータ エンリッチメント
  • 調査
  • Remediation
ノートブック
  • Microsoft Azure Sentinel データおよび外部データに対するクエリ
  • TI、GeoIP 検索、WhoIs 検索などを使用したデータ エンリッチメント
  • 調査
  • グラフ
  • 検出
  • 機械学習とビッグ データ分析
ブック
  • 視覚化

メリットと課題による比較

次の表では、Microsoft Azure Sentinel でのプレイブック、ブック、ノートブックの長所と短所を比較しています。

リソース 長所 課題
プレイブック
  • 単一の反復可能なタスクに最適
  • コーディングのスキルは不要
  • アドホックで複雑なタスク チェーンには適していない
  • 証拠の文書化と共有には適していない
ノートブック
  • 反復可能なタスクの複雑なチェーンに最適
  • アドホックでより手続き型の制御
  • 対話機能を使用したピボットがさらに容易に
  • データの操作および視覚化のための Python ライブラリが豊富
  • 機械学習とカスタム分析
  • 分析証拠の文書化および共有が簡単
  • 高い学習曲線、コーディングに関する知識が必要
ブック
  • Microsoft Azure Sentinel データの概要に最適
  • コーディングのスキルは不要
  • 外部データとの統合はできない