File Integrity Monitoring (FIM)
Was ist File Integrity Monitoring (FIM)?
File Integrity Monitoring (FIM)Sicherheitsmechanismus, der unerwartete Aenderungen an kritischen System-, Anwendungs- und Konfigurationsdateien anhand einer kryptografischen Baseline erkennt.
File Integrity Monitoring (FIM) haelt kryptografische Hashes (SHA-256 oder staerker) sensibler Dateien, Registry-Schluessel oder Konfigurationsobjekte und meldet, wenn Inhalt oder Metadaten ausserhalb genehmigter Change-Fenster veraendert werden. Klassische Implementierungen: Tripwire von Gene Kim (1992), AIDE, OSSEC, Wazuh, Samhain sowie Module in Trend Micro, Tenable, Qualys, Splunk und den meisten EDRs. PCI DSS v4.0 Anforderung 11.5.2 (fruher 11.5), HIPAA und SOX verlangen FIM ausdrucklich. Wirksames FIM definiert einen engen Scope (Systembinarys, Webroots, sudoers, /etc, Registry-Hives, geplante Aufgaben), integriert sich mit dem Change-Management zur Unterdruckung genehmigter Updates und schickt Ereignisse an ein SIEM zur Korrelation mit EDR, Identity-Logs und Threat Intelligence.
● Beispiele
- 01
OSSEC alarmiert, wenn /etc/sudoers ausserhalb eines genehmigten Ansible-Laufs geandert wird.
- 02
Tripwire Enterprise mit Change-Ticket-System verbunden, um unautorisierte Aenderungen am Document Root eines Webservers zu markieren.
● Häufige Fragen
Was ist File Integrity Monitoring (FIM)?
Sicherheitsmechanismus, der unerwartete Aenderungen an kritischen System-, Anwendungs- und Konfigurationsdateien anhand einer kryptografischen Baseline erkennt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet File Integrity Monitoring (FIM)?
Sicherheitsmechanismus, der unerwartete Aenderungen an kritischen System-, Anwendungs- und Konfigurationsdateien anhand einer kryptografischen Baseline erkennt.
Wie funktioniert File Integrity Monitoring (FIM)?
File Integrity Monitoring (FIM) haelt kryptografische Hashes (SHA-256 oder staerker) sensibler Dateien, Registry-Schluessel oder Konfigurationsobjekte und meldet, wenn Inhalt oder Metadaten ausserhalb genehmigter Change-Fenster veraendert werden. Klassische Implementierungen: Tripwire von Gene Kim (1992), AIDE, OSSEC, Wazuh, Samhain sowie Module in Trend Micro, Tenable, Qualys, Splunk und den meisten EDRs. PCI DSS v4.0 Anforderung 11.5.2 (fruher 11.5), HIPAA und SOX verlangen FIM ausdrucklich. Wirksames FIM definiert einen engen Scope (Systembinarys, Webroots, sudoers, /etc, Registry-Hives, geplante Aufgaben), integriert sich mit dem Change-Management zur Unterdruckung genehmigter Updates und schickt Ereignisse an ein SIEM zur Korrelation mit EDR, Identity-Logs und Threat Intelligence.
Wie schützt man sich gegen File Integrity Monitoring (FIM)?
Schutzmaßnahmen gegen File Integrity Monitoring (FIM) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für File Integrity Monitoring (FIM)?
Übliche alternative Bezeichnungen: FIM, Aenderungserkennung, Tripwire-aehnliches Monitoring.
● Verwandte Begriffe
- network-security№ 048
Anomaliebasierte Erkennung
Ein Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- compliance№ 807
PCI DSS
Weltweiter Sicherheitsstandard für Organisationen, die Zahlungskartendaten speichern, verarbeiten oder übertragen, gepflegt vom PCI Security Standards Council.
- malware№ 949
Rootkit
Tarn-Malware, die einem Angreifer privilegierten Zugriff auf ein Betriebssystem oder Gerät gewährt und ihn vor üblichen Werkzeugen versteckt.
- forensics-ir№ 524
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
- defense-ops№ 091
Verhaltenserkennung
Erkennungsansatz, der schaedliches Verhalten an der Laufzeit von Prozessen, Nutzern und Netzflussen identifiziert, statt sich auf statische Dateisignaturen zu stutzen.
● Siehe auch
- № 626Log-Aggregation
- № 769OSSEC
- № 1225Wazuh