Jämför spelböcker, arbetsböcker och notebook-filer

Den här artikeln beskriver skillnaderna mellan spelböcker, arbetsböcker och notebook-filer i Microsoft Sentinel.

Jämför med persona

I följande tabell jämförs Microsoft Sentinel-spelböcker, arbetsböcker och notebook-filer med användarens persona:

Resurs	beskrivning
Strategiböcker	SOC-tekniker Analytiker på alla nivåer
Arbetsböcker	SOC-tekniker Analytiker på alla nivåer
Notebook-filer	Hotjägare och Tier-2/Tier-3 analytiker Incidentutredare Data scientists Säkerhetsforskare

I följande tabell jämförs Microsoft Sentinel-spelböcker, arbetsböcker och notebook-filer efter användningsfall:

Resurs	beskrivning
Strategiböcker	Automatisering av enkla, repeterbara uppgifter: Mata in externa data Databerikning med TI, GeoIP-sökningar med mera Undersökningen Sanering
Arbetsböcker	Visualisering
Notebook-filer	Köra frågor mot Microsoft Sentinel-data och externa data Databerikning med TI, GeoIP-sökningar och Vem Is-sökningar med mera Undersökningen Visualisering Jakt Maskininlärning och stordataanalys

I följande tabell jämförs fördelarna och nackdelarna med spelböcker, arbetsböcker och notebook-filer i Microsoft Sentinel:

Resurs	Fördelar	Utmaningar
Strategiböcker	Bäst för enkla, repeterbara uppgifter Ingen kodningskunskap krävs	Inte lämplig för ad hoc- och komplexa kedjor av uppgifter Inte idealiskt för att dokumentera och dela bevis
Arbetsböcker	Bäst för en övergripande vy över Microsoft Sentinel-data Ingen kodningskunskap krävs	Det går inte att integrera med externa data
Notebook-filer	Bäst för komplexa kedjor av repeterbara uppgifter Ad hoc, mer procedurmässig kontroll Enklare att pivotleda med interaktiva funktioner Omfattande Python-bibliotek för datamanipulering och visualisering Maskininlärning och anpassad analys Lätt att dokumentera och dela analysbevis	Hög inlärningskurva och kräver kodningskunskap

Mer information finns i: