Мониторинг целостности файлов (FIM)
Что такое Мониторинг целостности файлов (FIM)?
Мониторинг целостности файлов (FIM)Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой.
File Integrity Monitoring (FIM) хранит криптографические хеши (SHA-256 и сильнее) для чувствительных файлов, ключей реестра или конфигурационных объектов и подаёт сигнал при изменении содержимого или метаданных вне согласованного окна изменений. Классические реализации — Tripwire Джина Кима (1992), AIDE, OSSEC, Wazuh, Samhain, а также модули в Trend Micro, Tenable, Qualys, Splunk и большинстве EDR. Стандарт PCI DSS v4.0, требование 11.5.2 (прежнее 11.5), HIPAA и SOX прямо требуют FIM. Эффективный FIM ограничивает область (системные бинарники, web root, sudoers, /etc, ветви реестра, запланированные задания), интегрируется с change management, чтобы не шуметь по согласованным апдейтам, и отправляет события в SIEM для корреляции с EDR, журналами идентичности и threat intelligence.
● Примеры
- 01
OSSEC сигнализирует об изменении /etc/sudoers вне согласованного запуска Ansible.
- 02
Tripwire Enterprise, связанный с change-тикетной системой, помечает несанкционированные изменения document root веб-сервера.
● Частые вопросы
Что такое Мониторинг целостности файлов (FIM)?
Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой. Относится к категории Защита и операции в кибербезопасности.
Что означает Мониторинг целостности файлов (FIM)?
Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой.
Как защититься от Мониторинг целостности файлов (FIM)?
Защита от Мониторинг целостности файлов (FIM) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Мониторинг целостности файлов (FIM)?
Распространённые альтернативные названия: FIM, Детектирование изменений, Мониторинг типа Tripwire.