文件完整性监控 (FIM)
文件完整性监控 (FIM) 是什么?
文件完整性监控 (FIM)通过将关键操作系统、应用与配置文件与可信加密基线进行对比,检测异常变更的安全控制。
文件完整性监控(FIM)对敏感文件、注册表键或配置对象维护加密散列(SHA-256 或更强),当内容或元数据在已批准的变更窗口之外发生变化时报警。经典实现包括 Gene Kim 1992 年开发的 Tripwire、AIDE、OSSEC、Wazuh、Samhain,以及 Trend Micro、Tenable、Qualys、Splunk 与大多数 EDR 平台中的相关模块。PCI DSS v4.0 第 11.5.2 条(原 11.5)、HIPAA 与 SOX 都明确要求 FIM。有效的 FIM 应严格界定范围(系统二进制、Web 根目录、sudoers、/etc、注册表 hive、计划任务),与变更管理集成以抑制经批准的更新,并将事件转发到 SIEM,与 EDR、身份日志和威胁情报关联。
● 示例
- 01
OSSEC 在 /etc/sudoers 被改动且不在已批准的 Ansible 执行内时报警。
- 02
Tripwire Enterprise 与变更工单系统集成,标记 Web 服务器 document root 的未授权变更。
● 常见问题
文件完整性监控 (FIM) 是什么?
通过将关键操作系统、应用与配置文件与可信加密基线进行对比,检测异常变更的安全控制。 它属于网络安全的 防御与运营 分类。
文件完整性监控 (FIM) 是什么意思?
通过将关键操作系统、应用与配置文件与可信加密基线进行对比,检测异常变更的安全控制。
文件完整性监控 (FIM) 是如何工作的?
文件完整性监控(FIM)对敏感文件、注册表键或配置对象维护加密散列(SHA-256 或更强),当内容或元数据在已批准的变更窗口之外发生变化时报警。经典实现包括 Gene Kim 1992 年开发的 Tripwire、AIDE、OSSEC、Wazuh、Samhain,以及 Trend Micro、Tenable、Qualys、Splunk 与大多数 EDR 平台中的相关模块。PCI DSS v4.0 第 11.5.2 条(原 11.5)、HIPAA 与 SOX 都明确要求 FIM。有效的 FIM 应严格界定范围(系统二进制、Web 根目录、sudoers、/etc、注册表 hive、计划任务),与变更管理集成以抑制经批准的更新,并将事件转发到 SIEM,与 EDR、身份日志和威胁情报关联。
如何防御 文件完整性监控 (FIM)?
针对 文件完整性监控 (FIM) 的防御通常结合技术控制与运营实践,详见上方完整定义。
文件完整性监控 (FIM) 还有哪些其他名称?
常见的别称包括: FIM, 变更检测, Tripwire 式监控。
● 相关术语
- network-security№ 048
基于异常的检测
通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- compliance№ 807
PCI DSS
适用于存储、处理或传输支付卡数据的组织的全球信息安全标准,由 PCI 安全标准委员会维护。
- malware№ 949
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- defense-ops№ 091
行为检测
通过分析进程、用户和网络流的运行时行为(而非静态文件特征码)来识别恶意活动的检测方法。