什么是文件完整性监控(FIM)

组织经常使用基于文件的系统来组织、存储和管理信息。文件完整性监控(FIM)是一种用于监控和验证文件和系统完整性的技术,识别用户并提醒用户对文件、文件夹和配置进行未经授权或意外的变更是 FIM 的主要目标,有助于保护关键数据和系统免受网络威胁和未经授权的访问。

FIM 解决方案可保护数据免受未经授权的变更,确保其准确性。受监控的变更包括:

  • 文件和文件夹的创建、删除、访问、修改或重命名,以及执行这些操作的任何失败尝试。
  • 上下文数据,例如实际进行修改的人员、修改发生的时间和发生位置。

为什么文件完整性监控很重要

安全威胁经常影响各种组织,主要目标是访问属于企业的敏感数据,例如机密客户信息、财务数据或系统密码。

一个强大的网络安全计划必须包括文件完整性监控,这使组织能够快速识别和解决安全威胁,同时保持其数据和系统的机密性和完整性。以下是为什么它很重要的几个主要原因:

  • 识别未经授权的更改: FIM 解决方案会密切关注任何未经授权的文件和目录添加、删除或更改,这对于识别恶意活动至关重要。
  • 合规性要求:许多监管标准和合规性框架(包括 PCI DSS、HIPAA 和 GDPR)都要求将 FIM 作为最佳安全实践实施。为了避免麻烦并保持利益相关者和客户的信任,遵守这些标准至关重要。
  • 防止数据泄露:在未经授权的情况下,对重要文件进行修改,可能导致系统受损或数据泄露,FIM 通过快速识别任何可疑活动并通知安全专业人员,有助于预防此类事件的发生。
  • 维护系统完整性:FIM 会保护系统文件、配置文件和其他数据免受损坏和更改,这对于保持系统的可靠性、性能和稳定性是必要的。
  • 取证分析:通过记录文件和文件夹更改,FIM 在发生安全事件时提供重要的取证信息。安全团队可以使用这些信息来调查事件的主要原因并实施必要的补救措施。

存储敏感数据的文件对于各行各业的组织的日常运营、协作、交互、合规性和决策流程都至关重要,保持组织的生产力、效率、声誉和竞争力需要有效的文件管理和安全性。

文件完整性监控的主要组件是什么

在这里插入图片描述

以下是 FIM 运行的 3 个主要组件:

  • 数据库系统:文件和配置的原始状态的加密散列存储在这个数据库中。原始文件也会被保留,以防万一启动回滚以将其返回到以前的操作基线。
  • 代理:这些技术组件测量设备和系统的状况以跟踪文件变更,然后将数据上传到数据库进行分析和比较。

用户界面:用户通常使用集中式 Web 门户作为报告、警报、补救、变更管理和变更控制分析的中心。

文件完整性监控的工作原理是什么

  • 安装代理:代理应安装在要监控其文件和文件夹的设备上,在设备上安装代理后,就可以访问设备的内部活动并从中获取日志数据。然后,SIEM 服务器将对日志编制索引并继续进行下一步。
  • 配置必要的资源:配置 FIM 时,必须指定必须监控的网络组件(包括文件、文件夹和目录服务器),保存敏感数据且更容易处理不当的资源可以从中受益。
  • 告警条件:通过确定用户的常规使用行为,管理员可以设置告警条件。然后,使用此警报标准作为指导,FIM 会实时分析发生的事件。
  • 持续监控:在设置相关策略并建立告警条件后,FIM 模块开始根据策略监控文件和文件夹,这有助于识别任何异常活动。
  • 实时警报:当事件超过设置的阈值时,将生成警报并将其转发给相应的机构,该机构会分析问题并采取必要的措施来纠正问题。这些警报可能包括变更类型、受影响的文件或目录以及事件发生时间等详细信息。
  • 报告生成:执行的所有操作(创建、删除、访问、修改或重命名)都以报告的形式呈现给用户,此外,为了提供符合 PCI DSS 和 HIPAA 等法规的证明,必须生成 FIM 报告,以便编译所有相关信息以进行审计。

FIM中用于监控文件和文件夹变更的方法

  • 比较基线
  • 实时变更通知

比较基线

建立代表系统授权条件的已知关键业务文件和配置的基准称为基准 FIM。定期或持续地将已建立的基准与文件和配置的当前状态进行比较,任何与基线的偏差都会触发警报或通知,指示可能未经授权的变更。使用加密校验和(如 SHA-2 或 MD5 哈希算法)来监控文件并将其与先前作为基线的散列计算进行比较是可靠的方法之一。

实时变更通知

实时 FIM 系统在修改发生时对其进行跟踪,并持续监控指定的文件和配置。它不使用预定义的基准。相反,它的主要目标是识别与系统当前状况的任何偏差。如果发生未经授权的文件访问或修改,安全管理员会立即通过警报收到有关更改的通知。警报会触发即时响应操作,例如隔离受影响的系统、回滚更改或启动进一步调查。

为什么选择实时 FIM 而不是基线 FIM

实时特征分析和基线特征分析的目的相似,但在方法和优势上有所不同。以下是与基线FIM相比,实时FIM的一些优势:

  • 实时 FIM 密切关注文件修改,并立即检测任何未经授权的更改或可疑活动,这样可以减少了因数据丢失而造成的潜在损害,并可以及时响应安全事件。
  • 组织可以通过及时采取措施来降低风险并避免进一步的损害,从而最大限度地减少安全事件可能导致的停机时间。
  • 实时 FIM 会立即提醒管理员未经授权的修改、可能的恶意软件感染或内部威胁,从而提供增强的安全性,这有助于阻止安全漏洞并保持重要数据和系统的准确性。
  • 实时 FIM 提供对文件变更的可见性,包括更改者、更改内容以及更改发生时间等详细信息,这种准确性对于合规性和取证分析非常有用。
  • 在文件和系统经常变化的动态环境中,实时FIM优于基线FIM,它不需要重复的基线更新,因为它可以实时调整以适应变化,从而提供持续的安全性。
  • 无论是小型企业还是大型企业,实时 FIM 解决方案通常都具有足够的可扩展性和灵活性,可以满足不断变化的组织需求。在不影响准确性或性能的情况下,可以管理大量文件修改。

Log360 采用实时 FIM 来监控文件和文件夹,以提供主动和持续的安全风险保护,为组织提供在当今快速发展的威胁环境中保持其数据和系统完整性所需的可见性和控制。

为什么需要 FIM 来满足合规性要求

合规性法规要求组织保护敏感数据并营造安全的环境,文件完整性监控对于维护合规性要求至关重要,它可以帮助组织满足众多监管框架和行业法规要求的安全和数据保护标准(例如 PCI DSS、HIPAA、GDPR 和 SOX)。以下是为什么需要 FIM 来确保合规性的原因:

FIM 通过在发现未经授权的修改时提供警报来增强数据保护和安全性,它使组织能够持续监控文件、目录和配置是否与指定策略有任何偏差,并为主要合规性要求(包括FISMA、PCI DSS、SOX、HIPAA、GLBA、GDPR)提供报告。

组织可以使用 FIM 访问文件修改的全面审计跟踪,其中包括有关变更类型、受影响的文件或配置、进行修改的用户或进程以及事件时间戳的信息。在发生安全事件时,此信息可以更轻松地证明符合法规要求并促进问责制。

为了保护组织免受安全风险和漏洞的影响,合规性法规非常重视风险管理和缓解技术。通过快速识别和响应未经授权的修改,FIM 通过减少欺骗、数据泄露和其他可能导致经济损失、声誉损害或法律影响的安全事件的可能性,帮助组织管理安全风险。

面向企业的 FIM

企业拥有的工作站中填充了大量以敏感数据为主的数据,这些敏感文件在企业网络中不断传输,并由多个用户和实体存储、共享和访问,从而影响数据的完整性。这使得像 FIM 这样的文件变更审计解决方案对于企业网络来说是必不可少的。企业 FIM 在增强数据安全性和可持续性方面的基本功能包括:

  • 文件变更审计智能,可增强敏感文件和文件夹的完整性。
  • 文件服务器审计,用于监控文件服务器和文件共享中的关键文件和文件夹。
  • 关联异常文件活动并识别潜在的内部威胁。
  • 对用户和实体进行行为分析,以确定基于文件活动的风险评分。
  • 实时警报生成,以检测未经授权的文件访问、文件更改、数据篡改和数据盗窃企图。
  • 通过实时报告基于文件的安全事件来遵守合规性要求。
  • 可扩展性,来满足不断扩展的网络的安全需求。

选择 FIM 工具时要考虑的条件

  • 确保 FIM 工具提供对文件修改的可见性,包括有关修改类型、受影响的文件或配置、负责人或进程以及事件时间戳的详细信息。
  • 选择一个可根据系统的大小和复杂性进行扩展的工具,支持大量文件、目录和终端节点,而不会出现任何性能延迟。
  • 为了满足组织的独特需求和安全准则,请寻找一种能够为监控策略、警报和报告提供灵活性和自定义选项的解决方案。
  • 要改进威胁检测、响应和协作功能,要考虑 FIM 工具是否与其他安全解决方案连接,例如 SIEM 平台、事件响应工具和票务系统。
  • 确保 FIM 解决方案具有广泛的报告功能,例如审计跟踪、主动监控的证据、安全事件和补救措施的记录,以满足合规性需求。
  • 选择具有直观、易于使用的界面和集中的管理控制台的用户友好型工具,用于配置策略、监控警报和管理设置。
  • 选择为 FIM 工具提供及时软件更新的供应商,包括针对任何问题的技术帮助。
  • 检查 FIM 工具的性能和资源需求,以确保它能够正常工作,而不会给网络基础设施或系统带来不必要的负担。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/55226.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

《NoSQL》非关系型数据库MongoDB 学习笔记!

Mongo基础: 使用数据库: 使用use 命令 后面跟着要使用的数据库名字即可, 例如:use cities, 值得注意的是, mongo中不像mysql, 还需要先创建数据库,后访问, mongo中,你无…

数据库管理-第246期 为啥有些老板瞧不上技术(20241002)

数据库管理246期 2024-10-02 数据库管理-第246期 为啥有些老板瞧不上技术(202401002)1 背景2 割裂3 感触总结 数据库管理-第246期 为啥有些老板瞧不上技术(202401002) 作者:胖头鱼的鱼缸(尹海文&#xff09…

leetcode:380. O(1) 时间插入、删除和获取随机元素

实现RandomizedSet 类: RandomizedSet() 初始化 RandomizedSet 对象bool insert(int val) 当元素 val 不存在时,向集合中插入该项,并返回 true ;否则,返回 false 。bool remove(int val) 当元素 val 存在时&#xff0…

数据仓库简介(一)

数据仓库概述 1. 什么是数据仓库? 数据仓库(Data Warehouse,简称 DW)是由 Bill Inmon 于 1990 年提出的一种用于数据分析和挖掘的系统。它的主要目标是通过分析和挖掘数据,为不同层级的决策提供支持,构成…

计算机毕业设计 基于Python的广东旅游数据分析系统的设计与实现 Python+Django+Vue Python爬虫 附源码 讲解 文档

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点…

Android AMS介绍

注:本文为作者学习笔记,如有误,请各位大佬指点 系统进程运行环境的初始化 Context是一个抽象类,它可以访问application环境的全局信息和各种资源信息和类 context功能: 对Activity、Service生命周期的管理通过Intent发…

LabVIEW自动生成NI-DAQmx代码

在现代数据采集和控制系统中,LabVIEW被广泛应用于各种工业和科研领域。其中,NI-DAQmx是一个强大的驱动程序,可以帮助用户高效地管理和配置数据采集任务。本文将介绍如何在LabVIEW中通过DAQ Assistant Express VI和任务常量自动生成NI-DAQmx代…

Python编码系列—Python状态模式:轻松管理对象状态的变化

🌟🌟 欢迎来到我的技术小筑,一个专为技术探索者打造的交流空间。在这里,我们不仅分享代码的智慧,还探讨技术的深度与广度。无论您是资深开发者还是技术新手,这里都有一片属于您的天空。让我们在知识的海洋中…

架构演化--将MVC代码重构成DDD

什么是好的代码架构 在当前的工作中我们所面临的主要矛盾是“越来越多的多场景化复杂业务需求与有限的研发人力之间的矛盾”。而要解决这一矛盾,就要求我们的系统能做到:设计易拓展、代码易复用、逻辑易传承、运行更稳定。 设计易拓展 一个好的架构应该…

Ceph RocksDB 深度调优

介绍 调优 Ceph 可能是一项艰巨的挑战。在 Ceph、RocksDB 和 Linux 内核之间,实际上有数以千计的选项可以进行调整以提高存储性能和效率。由于涉及的复杂性,比较优的配置通常分散在博客文章或邮件列表中,但是往往都没有说明这些设置的实际作…

如果您忘记了 Apple ID 和密码,按照指南可重新进入您的设备

即使您的 iPhone 或 iPad 由于各种原因被锁定或禁用,也可以使用 iTunes、“查找我的”、Apple 支持和 iCloud 解锁您的设备。但是,此过程需要您的 Apple ID 和密码来验证所有权并移除激活锁。如果您忘记了 Apple ID 和密码,请按照我们的指南重…

G502 鼠标自定义(配合 karabiner)

朋友送了我一个 G502 多功能鼠标,除了鼠标正常的左键、右键和滑轮外,额外提供了 6 个按键,并且滑轮可以向左、向右、向下按下,共计 9 个自定义的按键。 虽然是 karabiner 的老用户,但一直在使用 TrackPad,所…

SpringGateway(网关)微服务

一.启动nacos 1.查看linux的nacos是否启动 docker ps2.查看是否安装了nacos 前面是你的版本,后面的names是你自己的,我们下面要启动的就是这里的名字。 docker ps -a3.启动nacos并查看是否启动成功 二.创建网关项目 1.创建idea的maven项目 2.向pom.x…

VMware 虚拟机 下载安装 Centos7 和Windows10 镜像源

准备工作 下载 VMware链接:稍后发布链接 Centos7完整版链接:https://www.123865.com/ps/EF7OTd-mdAnH Centos7mini版链接:https://www.123865.com/ps/EF7OTd-1dAnH Windows10链接:https://www.123865.com/ps/EF7OTd-4dAnH 演示环境…

【Git】一文看懂Git

Git 一、简介1. Git 与 SVN 区别1.1 Git 是分布式的,SVN 不是1.1.1 分布式版本控制系统Git1.1.2 集中式版本控制系统SVN 1.2 Git 把内容按元数据方式存储,而 SVN 是按文件1.3 Git 分支和 SVN 的分支不同1.4 Git 没有一个全局的版本号,而 SVN …

CS 工作笔记:SmartEdit 里创建的是 CMS Component

下图是在 SmartEdit 里创建的 cms Component,在 Back-Office 里的截图: SAP Commerce Cloud 的 CMS Component 是其内容管理系统 (CMS) 的核心组成部分,它提供了对在线商店或平台内容的灵活管理。通过这些组件,用户能够在不涉及复…

C# 字符串(String)的应用说明一

一.字符串(String)的应用说明: 在 C# 中,更常见的做法是使用 string 关键字来声明一个字符串变量,也可以使用字符数组来表示字符串。string 关键字是 System.String 类的别名。 二.创建 String 对象的方法说明&#x…

Spark SQL分析层优化

导读:本期是《深入浅出Apache Spark》系列分享的第四期分享,第一期分享了Spark core的概念、原理和架构,第二期分享了Spark SQL的概念和原理,第三期则为Spark SQL解析层的原理和优化案例。本次分享内容主要是Spark SQL分析层的原理…

亚马逊 Bedrock 平台也能使用Llama 3.2 模型了

亚马逊 Bedrock 平台推出 Llama 3.2 模型:多模态视觉和轻量级模型 概述 由 Meta 提供的最新 Llama 3.2 模型现已在 Amazon Bedrock 平台上推出。这一新模型系列标志着 Meta 在大型语言模型(LLM)领域的最新进展,它在多种应用场景…

本地访问autodl的jupyter notebook

建立环境并安装jupyter conda create --name medkg python3.10 source activate medkg pip install jupyter 安装完成后,输入jupyter notebook --generate-config 输入ipython,进入python In [2]: from jupyter_server.auth import passwd In [3]: passwd(algori…