什么是文件完整性监控（FIM）

组织经常使用基于文件的系统来组织、存储和管理信息。文件完整性监控（FIM）是一种用于监控和验证文件和系统完整性的技术，识别用户并提醒用户对文件、文件夹和配置进行未经授权或意外的变更是 FIM 的主要目标，有助于保护关键数据和系统免受网络威胁和未经授权的访问。

FIM 解决方案可保护数据免受未经授权的变更，确保其准确性。受监控的变更包括：

• 文件和文件夹的创建、删除、访问、修改或重命名，以及执行这些操作的任何失败尝试。
• 上下文数据，例如实际进行修改的人员、修改发生的时间和发生位置。

为什么文件完整性监控很重要

安全威胁经常影响各种组织，主要目标是访问属于企业的敏感数据，例如机密客户信息、财务数据或系统密码。

一个强大的网络安全计划必须包括文件完整性监控，这使组织能够快速识别和解决安全威胁，同时保持其数据和系统的机密性和完整性。以下是为什么它很重要的几个主要原因：

• 识别未经授权的更改： FIM 解决方案会密切关注任何未经授权的文件和目录添加、删除或更改，这对于识别恶意活动至关重要。
• 合规性要求：许多监管标准和合规性框架（包括 PCI DSS、HIPAA 和 GDPR）都要求将 FIM 作为最佳安全实践实施。为了避免麻烦并保持利益相关者和客户的信任，遵守这些标准至关重要。
• 防止数据泄露：在未经授权的情况下，对重要文件进行修改，可能导致系统受损或数据泄露，FIM 通过快速识别任何可疑活动并通知安全专业人员，有助于预防此类事件的发生。
• 维护系统完整性：FIM 会保护系统文件、配置文件和其他数据免受损坏和更改，这对于保持系统的可靠性、性能和稳定性是必要的。
• 取证分析：通过记录文件和文件夹更改，FIM 在发生安全事件时提供重要的取证信息。安全团队可以使用这些信息来调查事件的主要原因并实施必要的补救措施。

存储敏感数据的文件对于各行各业的组织的日常运营、协作、交互、合规性和决策流程都至关重要，保持组织的生产力、效率、声誉和竞争力需要有效的文件管理和安全性。

文件完整性监控的主要组件是什么

以下是 FIM 运行的 3 个主要组件：

• 数据库系统：文件和配置的原始状态的加密散列存储在这个数据库中。原始文件也会被保留，以防万一启动回滚以将其返回到以前的操作基线。
• 代理：这些技术组件测量设备和系统的状况以跟踪文件变更，然后将数据上传到数据库进行分析和比较。

用户界面：用户通常使用集中式 Web 门户作为报告、警报、补救、变更管理和变更控制分析的中心。

文件完整性监控的工作原理是什么

• 安装代理：代理应安装在要监控其文件和文件夹的设备上，在设备上安装代理后，就可以访问设备的内部活动并从中获取日志数据。然后，SIEM 服务器将对日志编制索引并继续进行下一步。
• 配置必要的资源：配置 FIM 时，必须指定必须监控的网络组件（包括文件、文件夹和目录服务器），保存敏感数据且更容易处理不当的资源可以从中受益。
• 告警条件：通过确定用户的常规使用行为，管理员可以设置告警条件。然后，使用此警报标准作为指导，FIM 会实时分析发生的事件。
• 持续监控：在设置相关策略并建立告警条件后，FIM 模块开始根据策略监控文件和文件夹，这有助于识别任何异常活动。
• 实时警报：当事件超过设置的阈值时，将生成警报并将其转发给相应的机构，该机构会分析问题并采取必要的措施来纠正问题。这些警报可能包括变更类型、受影响的文件或目录以及事件发生时间等详细信息。
• 报告生成：执行的所有操作（创建、删除、访问、修改或重命名）都以报告的形式呈现给用户，此外，为了提供符合 PCI DSS 和 HIPAA 等法规的证明，必须生成 FIM 报告，以便编译所有相关信息以进行审计。

FIM中用于监控文件和文件夹变更的方法

• 比较基线
• 实时变更通知

比较基线

建立代表系统授权条件的已知关键业务文件和配置的基准称为基准 FIM。定期或持续地将已建立的基准与文件和配置的当前状态进行比较，任何与基线的偏差都会触发警报或通知，指示可能未经授权的变更。使用加密校验和（如 SHA-2 或 MD5 哈希算法）来监控文件并将其与先前作为基线的散列计算进行比较是可靠的方法之一。

实时变更通知

实时 FIM 系统在修改发生时对其进行跟踪，并持续监控指定的文件和配置。它不使用预定义的基准。相反，它的主要目标是识别与系统当前状况的任何偏差。如果发生未经授权的文件访问或修改，安全管理员会立即通过警报收到有关更改的通知。警报会触发即时响应操作，例如隔离受影响的系统、回滚更改或启动进一步调查。

为什么选择实时 FIM 而不是基线 FIM

实时特征分析和基线特征分析的目的相似，但在方法和优势上有所不同。以下是与基线FIM相比，实时FIM的一些优势：

• 实时 FIM 密切关注文件修改，并立即检测任何未经授权的更改或可疑活动，这样可以减少了因数据丢失而造成的潜在损害，并可以及时响应安全事件。
• 组织可以通过及时采取措施来降低风险并避免进一步的损害，从而最大限度地减少安全事件可能导致的停机时间。
• 实时 FIM 会立即提醒管理员未经授权的修改、可能的恶意软件感染或内部威胁，从而提供增强的安全性，这有助于阻止安全漏洞并保持重要数据和系统的准确性。
• 实时 FIM 提供对文件变更的可见性，包括更改者、更改内容以及更改发生时间等详细信息，这种准确性对于合规性和取证分析非常有用。
• 在文件和系统经常变化的动态环境中，实时FIM优于基线FIM，它不需要重复的基线更新，因为它可以实时调整以适应变化，从而提供持续的安全性。
• 无论是小型企业还是大型企业，实时 FIM 解决方案通常都具有足够的可扩展性和灵活性，可以满足不断变化的组织需求。在不影响准确性或性能的情况下，可以管理大量文件修改。

Log360 采用实时 FIM 来监控文件和文件夹，以提供主动和持续的安全风险保护，为组织提供在当今快速发展的威胁环境中保持其数据和系统完整性所需的可见性和控制。

为什么需要 FIM 来满足合规性要求

合规性法规要求组织保护敏感数据并营造安全的环境，文件完整性监控对于维护合规性要求至关重要，它可以帮助组织满足众多监管框架和行业法规要求的安全和数据保护标准（例如 PCI DSS、HIPAA、GDPR 和 SOX）。以下是为什么需要 FIM 来确保合规性的原因：

FIM 通过在发现未经授权的修改时提供警报来增强数据保护和安全性，它使组织能够持续监控文件、目录和配置是否与指定策略有任何偏差，并为主要合规性要求（包括FISMA、PCI DSS、SOX、HIPAA、GLBA、GDPR）提供报告。

组织可以使用 FIM 访问文件修改的全面审计跟踪，其中包括有关变更类型、受影响的文件或配置、进行修改的用户或进程以及事件时间戳的信息。在发生安全事件时，此信息可以更轻松地证明符合法规要求并促进问责制。

为了保护组织免受安全风险和漏洞的影响，合规性法规非常重视风险管理和缓解技术。通过快速识别和响应未经授权的修改，FIM 通过减少欺骗、数据泄露和其他可能导致经济损失、声誉损害或法律影响的安全事件的可能性，帮助组织管理安全风险。

面向企业的 FIM

企业拥有的工作站中填充了大量以敏感数据为主的数据，这些敏感文件在企业网络中不断传输，并由多个用户和实体存储、共享和访问，从而影响数据的完整性。这使得像 FIM 这样的文件变更审计解决方案对于企业网络来说是必不可少的。企业 FIM 在增强数据安全性和可持续性方面的基本功能包括：

• 文件变更审计智能，可增强敏感文件和文件夹的完整性。
• 文件服务器审计，用于监控文件服务器和文件共享中的关键文件和文件夹。
• 关联异常文件活动并识别潜在的内部威胁。
• 对用户和实体进行行为分析，以确定基于文件活动的风险评分。
• 实时警报生成，以检测未经授权的文件访问、文件更改、数据篡改和数据盗窃企图。
• 通过实时报告基于文件的安全事件来遵守合规性要求。
• 可扩展性，来满足不断扩展的网络的安全需求。

选择 FIM 工具时要考虑的条件

• 确保 FIM 工具提供对文件修改的可见性，包括有关修改类型、受影响的文件或配置、负责人或进程以及事件时间戳的详细信息。
• 选择一个可根据系统的大小和复杂性进行扩展的工具，支持大量文件、目录和终端节点，而不会出现任何性能延迟。
• 为了满足组织的独特需求和安全准则，请寻找一种能够为监控策略、警报和报告提供灵活性和自定义选项的解决方案。
• 要改进威胁检测、响应和协作功能，要考虑 FIM 工具是否与其他安全解决方案连接，例如 SIEM 平台、事件响应工具和票务系统。
• 确保 FIM 解决方案具有广泛的报告功能，例如审计跟踪、主动监控的证据、安全事件和补救措施的记录，以满足合规性需求。
• 选择具有直观、易于使用的界面和集中的管理控制台的用户友好型工具，用于配置策略、监控警报和管理设置。
• 选择为 FIM 工具提供及时软件更新的供应商，包括针对任何问题的技术帮助。
• 检查 FIM 工具的性能和资源需求，以确保它能够正常工作，而不会给网络基础设施或系统带来不必要的负担。