Porównanie podręczników, skoroszytów i notesów
-
Artykuł
-
-
W tym artykule opisano różnice między podręcznikami, skoroszytami i notesami w usłudze Microsoft Sentinel.
Porównanie według persona
W poniższej tabeli porównano podręczniki, skoroszyty i notesy usługi Microsoft Sentinel według osoby użytkownika:
| Zasób |
opis |
| Elementy playbook |
- Inżynierowie SOC
- Analitycy wszystkich warstw
|
| Skoroszyty |
- Inżynierowie SOC
- Analitycy wszystkich warstw
|
| Notesy |
- Łowcy zagrożeń i analitycy warstwy 2/Warstwy 3
- Śledczy incydentu
- Badacze danych
- Naukowcy zajmujący się bezpieczeństwem
|
Porównanie według użycia
W poniższej tabeli porównano podręczniki, skoroszyty i notesy usługi Microsoft Sentinel według przypadku użycia:
| Zasób |
opis |
| Elementy playbook |
Automatyzacja prostych, powtarzalnych zadań:- Pozyskiwanie danych zewnętrznych
- Wzbogacanie danych za pomocą funkcji TI, wyszukiwania GeoIP i nie tylko
- Dochodzenia
- Korygowania
|
| Skoroszyty |
|
| Notesy |
- Wykonywanie zapytań dotyczących danych i danych zewnętrznych usługi Microsoft Sentinel
- Wzbogacanie danych za pomocą funkcji TI, wyszukiwania GeoIP i wyszukiwania KtoTo I i innych
- Dochodzenia
- Wizualizacji
- Polowanie
- Uczenie maszynowe i analiza danych big data
|
Porównywanie według zalet i wyzwań
W poniższej tabeli porównano zalety i wady podręczników, skoroszytów i notesów w usłudze Microsoft Sentinel:
| Zasób |
Zalety |
Wyzwania |
| Elementy playbook |
- Najlepsze w przypadku pojedynczych, powtarzalnych zadań
- Brak wymaganej wiedzy na temat kodowania
|
- Nieodpowiednie dla ad hoc i złożonych łańcuchów zadań
- Nie jest idealny do dokumentowania i udostępniania dowodów
|
| Skoroszyty |
- Najlepsze rozwiązanie w przypadku wysokiego poziomu widoku danych usługi Microsoft Sentinel
- Brak wymaganej wiedzy na temat kodowania
|
- Nie można zintegrować z danymi zewnętrznymi
|
| Notesy |
- Najlepsze w przypadku złożonych łańcuchów powtarzalnych zadań
- Ad hoc, większa kontrola proceduralna
- Łatwiejsze przestawienie przy użyciu funkcji interaktywnych
- Rozbudowane biblioteki języka Python do manipulowania danymi i wizualizacji
- Uczenie maszynowe i analiza niestandardowa
- Łatwe dokumentowanie i udostępnianie dowodów analizy
|
- Wysoka krzywa uczenia się i wymaga wiedzy na temat kodowania
|
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: