在关于回答“资产收集和更新如何快速有效的实施?”中我大致介绍了我认为的SOC和资产收集的关系。如果SOC的主要目的是发现威胁的话,我认为比较重要的资产属性包括IP,主机名,所有人,所属应用,位置,操作系统版本等。有了这些信息不但能完善规则定义所需要的上下文属性,一旦发现了威胁后还有助于最快得定位到位置和人。
收起个人觉得定义资产的目的是为了什么,或者说做哪些事情,如果能在企业里大致说清楚的话,那么资产的主键可能就已经出来了,剩下的是基于配置管理系统还是XMDB进行核对就是技术问题了,同样比较重要的是资产创建/发现的过程,资产创建包括手工创建和自动创建两种方式,通过人工录入、文件导入、拓扑发现、自动识别或者与第三方系统数据同步等方式创建具体的资产。
资产类型一般包括:主机、移动介质、网络设备、安全设备、应用系统、文档资产、数据和信息等。资产的表现形式是资产拥有的各种属性,包括通用属性及特有属性,通用属性为所有资产具备基本属性信息,特有属性为特有资产所具备的属性。个人意见,仅供参考。