Мониторинг целостности файлов (FIM)
Что такое Мониторинг целостности файлов (FIM)?
Мониторинг целостности файлов (FIM)Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой.
File Integrity Monitoring (FIM) хранит криптографические хеши (SHA-256 и сильнее) для чувствительных файлов, ключей реестра или конфигурационных объектов и подаёт сигнал при изменении содержимого или метаданных вне согласованного окна изменений. Классические реализации — Tripwire Джина Кима (1992), AIDE, OSSEC, Wazuh, Samhain, а также модули в Trend Micro, Tenable, Qualys, Splunk и большинстве EDR. Стандарт PCI DSS v4.0, требование 11.5.2 (прежнее 11.5), HIPAA и SOX прямо требуют FIM. Эффективный FIM ограничивает область (системные бинарники, web root, sudoers, /etc, ветви реестра, запланированные задания), интегрируется с change management, чтобы не шуметь по согласованным апдейтам, и отправляет события в SIEM для корреляции с EDR, журналами идентичности и threat intelligence.
● Примеры
- 01
OSSEC сигнализирует об изменении /etc/sudoers вне согласованного запуска Ansible.
- 02
Tripwire Enterprise, связанный с change-тикетной системой, помечает несанкционированные изменения document root веб-сервера.
● Частые вопросы
Что такое Мониторинг целостности файлов (FIM)?
Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой. Относится к категории Защита и операции в кибербезопасности.
Что означает Мониторинг целостности файлов (FIM)?
Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой.
Как работает Мониторинг целостности файлов (FIM)?
File Integrity Monitoring (FIM) хранит криптографические хеши (SHA-256 и сильнее) для чувствительных файлов, ключей реестра или конфигурационных объектов и подаёт сигнал при изменении содержимого или метаданных вне согласованного окна изменений. Классические реализации — Tripwire Джина Кима (1992), AIDE, OSSEC, Wazuh, Samhain, а также модули в Trend Micro, Tenable, Qualys, Splunk и большинстве EDR. Стандарт PCI DSS v4.0, требование 11.5.2 (прежнее 11.5), HIPAA и SOX прямо требуют FIM. Эффективный FIM ограничивает область (системные бинарники, web root, sudoers, /etc, ветви реестра, запланированные задания), интегрируется с change management, чтобы не шуметь по согласованным апдейтам, и отправляет события в SIEM для корреляции с EDR, журналами идентичности и threat intelligence.
Как защититься от Мониторинг целостности файлов (FIM)?
Защита от Мониторинг целостности файлов (FIM) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Мониторинг целостности файлов (FIM)?
Распространённые альтернативные названия: FIM, Детектирование изменений, Мониторинг типа Tripwire.
● Связанные термины
- network-security№ 048
Обнаружение по аномалиям
Подход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- compliance№ 807
PCI DSS
Международный стандарт информационной безопасности для организаций, хранящих, обрабатывающих или передающих данные платёжных карт, поддерживаемый PCI Security Standards Council.
- malware№ 949
Руткит
Скрытное вредоносное ПО, обеспечивающее и маскирующее привилегированный доступ к ОС или устройству, обходя стандартные средства обнаружения.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
- defense-ops№ 091
Поведенческое детектирование
Подход к обнаружению, выявляющий вредоносную активность по поведению процессов, пользователей и сетевых потоков во время выполнения, а не по статическим сигнатурам файлов.
● См. также
- № 626Агрегация логов
- № 769OSSEC
- № 1225Wazuh