Share via

Werkmappen, playbooks en notebooks vergelijken

  • Artikel

Werkmappen, playbooks en notebooks zijn belangrijke resources in Microsoft Sentinel waarmee u reacties kunt automatiseren, gegevens kunt visualiseren en gegevens kunt analyseren. Soms kan het lastig zijn om bij te houden welk type resource geschikt is voor uw taak.

In dit artikel kunt u onderscheid maken tussen werkmappen, playbooks en notebooks in Microsoft Sentinel:

  • Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, visualiseert en bewaakt u de gegevens met behulp van werkmappen in Microsoft Sentinel. Microsoft Sentinel-werkmappen zijn gebaseerd op Azure Monitor-werkmappen en voegen tabellen en grafieken met analyses voor uw logboeken en query's toe aan de hulpprogramma's die al beschikbaar zijn in Azure.
  • Jupyter-notebooks in Microsoft Sentinel zijn een krachtig hulpprogramma voor beveiligingsonderzoek en opsporing, waardoor volledige programmeerbaarheid mogelijk is met een enorme verzameling bibliotheken voor machine learning, visualisatie en gegevensanalyse. Hoewel veel algemene taken kunnen worden uitgevoerd in de portal, breidt Jupyter het bereik uit van wat u met deze gegevens kunt doen.
  • Gebruik Microsoft Sentinel-playbooks om vooraf geconfigureerde sets herstelacties uit te voeren om uw bedreigingsreactie te automatiseren en te organiseren.

Vergelijken op persona

In de volgende tabel worden Microsoft Sentinel-playbooks, -werkmappen en -notitieblokken vergeleken met de persona van de gebruiker:

Bron Beschrijving
Werkmappen
  • SOC-technici
  • Analisten van alle lagen
Notebooks
  • Bedreigingsjagers en Laag-2/Laag-3-analisten
  • Incidentonderzoekers
  • Gegevenswetenschappers
  • Beveiligingsonderzoekers
Playbooks
  • SOC-technici
  • Analisten van alle lagen

Vergelijken op gebruik

In de volgende tabel worden microsoft Sentinel-playbooks, werkmappen en notebooks vergeleken met behulp van use-case:

Bron Beschrijving
Playbooks Automatisering van eenvoudige, herhaalbare taken:
  • Externe gegevens opnemen
  • Gegevensverrijking met TI, GeoIP-zoekacties en meer
  • Onderzoek
  • Sanering
Notebooks
  • Query's uitvoeren op Microsoft Sentinel-gegevens en externe gegevens
  • Gegevensverrijking met TI, GeoIP-zoekacties en WhoIs-zoekacties, en meer
  • Onderzoek
  • Visualisatie
  • Jacht
  • Machine learning en big data-analyses
Werkmappen
  • Visualisatie

Vergelijken op voordelen en uitdagingen

In de volgende tabel worden de voor- en nadelen van playbooks, werkmappen en notebooks in Microsoft Sentinel vergeleken:

Bron Voordelen Uitdagingen
Playbooks
  • Het meest geschikt voor enkele, herhaalbare taken
  • Er is geen coderingskennis vereist
  • Niet geschikt voor ad-hoc en complexe ketens van taken
  • Niet ideaal voor het documenteren en delen van bewijs
Notebooks
  • Het meest geschikt voor complexe ketens van herhaalbare taken
  • Ad-hoc, meer procedurele controle
  • Eenvoudiger te draaien met interactieve functionaliteit
  • Uitgebreide Python-bibliotheken voor gegevensmanipulatie en visualisatie
  • Machine learning en aangepaste analyse
  • Eenvoudig te documenteren en analysemateriaal te delen
  • Hoge leercurve en vereist coderingskennis
Werkmappen
  • Het meest geschikt voor een algemeen overzicht van Microsoft Sentinel-gegevens
  • Er is geen coderingskennis vereist
  • Kan niet integreren met externe gegevens