Monitoramento de Integridade de Ficheiros (FIM)
O que é Monitoramento de Integridade de Ficheiros (FIM)?
Monitoramento de Integridade de Ficheiros (FIM)Controlo de seguranca que deteta alteracoes inesperadas em ficheiros criticos de sistema, aplicacao e configuracao comparando-os com uma baseline criptografica conhecida.
O File Integrity Monitoring (FIM) mantem hashes criptograficos (SHA-256 ou superior) de ficheiros sensiveis, chaves de registo ou objetos de configuracao e alerta quando o conteudo ou metadados mudam fora de uma janela de change aprovada. Implementacoes classicas incluem o Tripwire de Gene Kim (1992), AIDE, OSSEC, Wazuh, Samhain e modulos integrados em Trend Micro, Tenable, Qualys, Splunk e na maioria dos EDRs. O PCI DSS v4.0 requisito 11.5.2 (antes 11.5), HIPAA e SOX exigem FIM. Um FIM eficaz limita o escopo (binarios de sistema, web roots, sudoers, /etc, hives do registo, tarefas agendadas), integra-se com o change management para suprimir atualizacoes aprovadas e envia eventos a um SIEM para correlacao com EDR, identidade e threat intelligence.
● Exemplos
- 01
OSSEC alerta quando /etc/sudoers e alterado fora de uma execucao Ansible aprovada.
- 02
Tripwire Enterprise integrado ao sistema de tickets de change para sinalizar alteracoes nao aprovadas no document root do servidor web.
● Perguntas frequentes
O que é Monitoramento de Integridade de Ficheiros (FIM)?
Controlo de seguranca que deteta alteracoes inesperadas em ficheiros criticos de sistema, aplicacao e configuracao comparando-os com uma baseline criptografica conhecida. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Monitoramento de Integridade de Ficheiros (FIM)?
Controlo de seguranca que deteta alteracoes inesperadas em ficheiros criticos de sistema, aplicacao e configuracao comparando-os com uma baseline criptografica conhecida.
Como funciona Monitoramento de Integridade de Ficheiros (FIM)?
O File Integrity Monitoring (FIM) mantem hashes criptograficos (SHA-256 ou superior) de ficheiros sensiveis, chaves de registo ou objetos de configuracao e alerta quando o conteudo ou metadados mudam fora de uma janela de change aprovada. Implementacoes classicas incluem o Tripwire de Gene Kim (1992), AIDE, OSSEC, Wazuh, Samhain e modulos integrados em Trend Micro, Tenable, Qualys, Splunk e na maioria dos EDRs. O PCI DSS v4.0 requisito 11.5.2 (antes 11.5), HIPAA e SOX exigem FIM. Um FIM eficaz limita o escopo (binarios de sistema, web roots, sudoers, /etc, hives do registo, tarefas agendadas), integra-se com o change management para suprimir atualizacoes aprovadas e envia eventos a um SIEM para correlacao com EDR, identidade e threat intelligence.
Como se defender contra Monitoramento de Integridade de Ficheiros (FIM)?
As defesas contra Monitoramento de Integridade de Ficheiros (FIM) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Monitoramento de Integridade de Ficheiros (FIM)?
Nomes alternativos comuns: FIM, Detecao de mudanca, Monitoramento tipo Tripwire.
● Termos relacionados
- network-security№ 048
Detecção Baseada em Anomalias
Abordagem de detecção que estabelece uma linha de base de atividade normal e sinaliza desvios em relação a ela como potencialmente maliciosos.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- compliance№ 807
PCI DSS
Norma global de segurança da informação para organizações que armazenam, processam ou transmitem dados de cartões de pagamento, mantida pelo PCI Security Standards Council.
- malware№ 949
Rootkit
Malware furtivo que concede e oculta acesso privilegiado a um sistema operativo ou dispositivo, escapando às ferramentas de deteção comuns.
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
- defense-ops№ 091
Detecao Comportamental
Abordagem de detecao que identifica atividade maliciosa pelo comportamento em execucao de processos, utilizadores e fluxos de rede, em vez de assinaturas estaticas.
● Veja também
- № 626Agregacao de logs
- № 769OSSEC
- № 1225Wazuh