Monitorizacion de Integridad de Archivos (FIM)
¿Qué es Monitorizacion de Integridad de Archivos (FIM)?
Monitorizacion de Integridad de Archivos (FIM)Control de seguridad que detecta cambios inesperados en archivos criticos del sistema operativo, aplicaciones y configuracion comparandolos con una linea base criptografica.
La monitorizacion de integridad de archivos (FIM) mantiene hashes criptograficos (SHA-256 o mas fuertes) de archivos sensibles, claves de registro u objetos de configuracion y alerta cuando su contenido o metadatos cambian fuera de una ventana de cambio aprobada. Implementaciones clasicas son Tripwire de Gene Kim (1992), AIDE, OSSEC, Wazuh y Samhain; tambien la incluyen Trend Micro, Tenable, Qualys, Splunk y la mayoria de EDR. PCI DSS v4.0 requisito 11.5.2 (antes 11.5), HIPAA y SOX la exigen explicitamente. Un FIM eficaz acota el alcance (binarios del sistema, raices web, sudoers, /etc, hives del registro, tareas programadas), se integra con la gestion de cambios para suprimir actualizaciones aprobadas y reenvia eventos al SIEM para correlacionar con EDR, identidad e inteligencia de amenazas.
● Ejemplos
- 01
OSSEC alerta cuando /etc/sudoers cambia fuera de una ejecucion aprobada de Ansible.
- 02
Tripwire Enterprise integrado con el sistema de tickets de cambios para senalar modificaciones no aprobadas del document root del servidor web.
● Preguntas frecuentes
¿Qué es Monitorizacion de Integridad de Archivos (FIM)?
Control de seguridad que detecta cambios inesperados en archivos criticos del sistema operativo, aplicaciones y configuracion comparandolos con una linea base criptografica. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Monitorizacion de Integridad de Archivos (FIM)?
Control de seguridad que detecta cambios inesperados en archivos criticos del sistema operativo, aplicaciones y configuracion comparandolos con una linea base criptografica.
¿Cómo funciona Monitorizacion de Integridad de Archivos (FIM)?
La monitorizacion de integridad de archivos (FIM) mantiene hashes criptograficos (SHA-256 o mas fuertes) de archivos sensibles, claves de registro u objetos de configuracion y alerta cuando su contenido o metadatos cambian fuera de una ventana de cambio aprobada. Implementaciones clasicas son Tripwire de Gene Kim (1992), AIDE, OSSEC, Wazuh y Samhain; tambien la incluyen Trend Micro, Tenable, Qualys, Splunk y la mayoria de EDR. PCI DSS v4.0 requisito 11.5.2 (antes 11.5), HIPAA y SOX la exigen explicitamente. Un FIM eficaz acota el alcance (binarios del sistema, raices web, sudoers, /etc, hives del registro, tareas programadas), se integra con la gestion de cambios para suprimir actualizaciones aprobadas y reenvia eventos al SIEM para correlacionar con EDR, identidad e inteligencia de amenazas.
¿Cómo defenderse de Monitorizacion de Integridad de Archivos (FIM)?
Las defensas contra Monitorizacion de Integridad de Archivos (FIM) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Monitorizacion de Integridad de Archivos (FIM)?
Nombres alternativos comunes: FIM, Deteccion de cambios, Monitorizacion tipo Tripwire.
● Términos relacionados
- network-security№ 048
Detección basada en anomalías
Enfoque de detección que construye una línea base de actividad normal y marca como potencialmente maliciosas las desviaciones respecto a ella.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- compliance№ 807
PCI DSS
Estándar global de seguridad de la información para organizaciones que almacenan, procesan o transmiten datos de tarjetas de pago, gestionado por el PCI Security Standards Council.
- malware№ 949
Rootkit
Malware sigiloso que concede y oculta un acceso privilegiado al sistema operativo o dispositivo, evadiendo la detección de las herramientas habituales.
- forensics-ir№ 524
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
- defense-ops№ 091
Deteccion por Comportamiento
Enfoque de deteccion que identifica actividad maliciosa a partir del comportamiento en ejecucion de procesos, usuarios y trafico, no de firmas estaticas de archivos.
● Véase también
- № 626Agregacion de logs
- № 769OSSEC
- № 1225Wazuh