在关于回答“资产收集和更新如何快速有效的实施?”中我大致介绍了我认为的SOC和资产收集的关系。如果SOC的主要目的是发现威胁的话,我认为比较重要的资产属性包括IP,主机名,所有人,所属应用,位置,操作系统版本等。有了这些信息不但能完善规则定义所需要的上下文属性,一旦发现了威...
显示全部在关于回答“资产收集和更新如何快速有效的实施?”中我大致介绍了我认为的SOC和资产收集的关系。如果SOC的主要目的是发现威胁的话,我认为比较重要的资产属性包括IP,主机名,所有人,所属应用,位置,操作系统版本等。有了这些信息不但能完善规则定义所需要的上下文属性,一旦发现了威胁后还有助于最快得定位到位置和人。
收起