你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

比较工作簿、playbook 和笔记本

工作簿、playbook 和笔记本是 Microsoft sentinel 中的关键资源,可分别帮助你自动执行响应、可视化数据和分析数据。 有时,跟踪哪种类型的资源适合你的任务可能很困难。

本文可帮助区分 Microsoft Sentinel 中的工作簿、playbook 和笔记本:

  • 将数据源连接到 Microsoft Sentinel 后,使用 Microsoft Sentinel 中的工作簿可视化和监视数据。 Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,它为 Azure 中已提供的工具补充了日志和查询的带有分析的表格和图表。
  • Microsoft Sentinel 中的 Jupyter 笔记本是一种强大的安全调查和搜寻工具,它提供了完整的可编程性和用于机器学习、可视化和数据分析的大量库。 虽然可以在门户中执行许多常见任务,但 Jupyter 扩展了可对此数据执行的操作范围。
  • 使用 Microsoft Sentinel playbook 运行预配置的修正操作集,以帮助自动执行和协调威胁响应

按角色进行比较

下表按用户角色比较了 Microsoft Sentinel playbook、工作簿和笔记本:

资源 说明
工作簿
  • SOC 工程师
  • 所有层级的分析师
Notebook
  • 威胁搜寻者和第 2 层/第 3 层分析师
  • 事件调查者
  • 数据科学家
  • 安全研究人员
演练手册
  • SOC 工程师
  • 所有层级的分析师

按使用进行比较

下表按用例比较了 Microsoft Sentinel playbook、工作簿和笔记本:

资源 说明
演练手册 自动完成简单的可重复任务:
  • 引入外部数据
  • 使用 TI、GeoIP 查找等功能进行数据扩充
  • 调查
  • 补救
Notebook
  • 查询 Microsoft Sentinel 数据和外部数据
  • 使用 TI、GeoIP 查找、WhoIs 查找等功能进行数据扩充
  • 调查
  • 可视化
  • 搜寻
  • 机器学习和大数据分析
工作簿
  • 可视化效果

按优势和挑战进行比较

下表比较了 Microsoft Sentinel 中 playbook、工作簿和笔记本的优点和缺点:

资源 优点 挑战
演练手册
  • 最适合单个可重复任务
  • 无需编码知识
  • 不适合临时的和复杂的任务链
  • 不适合记录和共享证据
Notebook
  • 最适合复杂的可重复任务链
  • 临时使用,更多过程控制
  • 可以使用交互功能更轻松地进行透视
  • 丰富的 Python 库,适用于数据操作和可视化
  • 机器学习和自定义分析
  • 易于记录和共享分析证据
  • 跨越式的学习曲线,需要编码知识
工作簿
  • 最适合 Microsoft Sentinel 数据的概要视图
  • 无需编码知识
  • 无法与外部数据集成