如何选择文件完整性监控解决方案

组织经常使用基于文件的系统来组织、存储和管理信息。文件完整性监控（FIM）是一种用于监控和验证网络内文件和系统完整性的技术，识别文件、文件夹和配置的未经授权或意外更改并提醒用户是 FIM 的主要目标。

文件完整性监控的主要组成部分：

• 数据库系统：文件和配置原始状态的加密散列存储在此数据库中。原始文件也被保留，防发起回滚以将它们返回到以前的文件。
• 代理：这些技术组件测量设备和系统的状况，以跟踪文件变化，然后将数据上传到数据库进行分析和比较。
• 用户界面：用户通常使用集中式web门户作为报告、警报、补救、变更管理和变更控制分析的中心。

文件完整性监控如何工作：

• 安装代理： 在要监视其文件和文件夹的每个设备上安装监视代理。这些代理收集必要的数据日志，在设备上安装代理后，它将获得对设备内部活动的访问权限，并从中获取日志数据，然后，安全信息和事件管理 （SIEM） 服务器将对日志建立索引，并继续进行下一步操作。
• 配置必要的资源：配置 FIM 时，必须指定必须监控的网络组件（包括文件、文件夹和目录服务器），保存敏感数据且更容易被不当处理的资源可以从中受益。
• 警报条件：通过确定用户的常规使用模式和行为，管理员可以设置警报标准，然后，使用此警报条件作为指导，FIM 实时分析发生的事件。
• 持续监控：设置相关策略并建立警报条件后，FIM 模块开始根据策略监控文件和文件夹，这有助于识别任何异常活动。
• 实时告警：当事件超过预定阈值时，会生成警报并将其转发给相应的机构，然后由该机构分析问题并采取适当的措施来纠正它，这些警报包括更改类型、受影响的文件或目录以及事件时间等详细信息。
• 报告生成：所有执行的操作(文件创建、删除、访问、修改或重命名)都以报告的形式呈现给用户，以便有效地识别威胁。此外，为了提供符合HIPAA和PCI DSS等法规的证明，必须生成FIM报告，以便汇编所有相关信息以用于审计。

文件完整性监控的重要性

网络犯罪分子的主要目标是访问企业的敏感数据，例如机密客户信息、财务数据或系统密码，存储这些数据的文件对于所有行业的组织的日常运营、协作、交互、合规性和决策过程中都至关重要，在当今的数字环境中，保持组织的生产力、效率、声誉和竞争力需要有效的文件管理和安全性。实时检测环境变化是构建安全环境的第一步。

• 文件完整性监控（FIM）对于保护企业免受安全风险至关重要的主要原因是它可以防止数据泄露、发现未经授权的修改、确保合规性、识别配置问题、缓解内部威胁并支持取证调查。
• 文件完整性监控（FIM）审核对敏感文件和文件夹的未经授权的更改。它根据受信任的基线验证文件的完整性，以跟踪可疑文件活动，如文件创建、修改和删除。

如何选择文件完整性监控（FIM）解决方案

文件完整性监控（FIM）解决方案从表面上看，它似乎是一个简单方便的解决方案，可以检测文件更改。但深入研究会发现，这是一个复杂的解决方案，需要对策略、相关规则、警报和报告进行微调和简化，以识别未经授权的文件更改。以下是在 FIM 解决方案中寻找的主要功能：

• 全面的数据安全覆盖
• 有效的策略管理
• 可信的基线和范式
• 主动和被动监控
• 实时告警
• 报告和法规遵从性
• 增强用户体验

全面的数据安全覆盖

FIM 解决方案应能够监视整个网络中的文件更改，它应该监控所有网络组件中的文件活动，包括操作系统、数据库、目录、网络设备、工作站、远程设备、云环境、虚拟机管理程序、AD 和安全解决方案，它还需要跟踪与从网络组件收集的安全日志文件相关的更改，从而为网络提供 360 度覆盖。

有效的策略管理

FIM 策略充当基本框架，用于确定 FIM 解决方案要监视的资产，它们还根据资产类型和重要性指定要监视的更改类型。此外，这些策略需要与网络的安全需求保持一致，FIM 解决方案应提供以下规定：

• 策略定制以满足未来需求。
• 支持基于资产类型的政策多元化。
• 简化整个网络的策略修订和应用。
• 通过单个控制台轻松管理策略。

可信的基线和范式

范式和基线确定文件的完整性，以便为每个文件创建数字指纹并跟踪与文件相关的各种更改，范式和基线反映了网络中预期的文件操作和与文件相关的行为。FIM 解决方案应能够优化范例和基线，以生成真正的有用的警报，否则可能会导致误报的过度干扰。

因此，FIM 解决方案必须拥有受信任的范例和基线，以便管理员可以获得有关警报的真正可操作见解并减少不必要的干扰。

主动和被动监控

FIM 解决方案应该能够进行主动和被动的文件完整性监控，以防御可疑的文件活动，主动 FIM 基于一组预先确定的规则和基线监控文件活动，它跟踪文件活动，并在文件被更改、更新或泄露导致偏离基线时生成警报。反应式 FIM 分析可疑文件活动的根本原因以执行取证分析，恢复原始文件配置并恢复实际文件。

实时告警

并非所有文件活动都是可疑的、非法的，因此，FIM的实时告警能力往往伴随着误报的产生。这些误报会产生意想不到的影响，分散对真告警的识别。FIM 解决方案应自动提升预期的文件活动，并区分预期和异常文件更改，这有助于验证生成的警报并增强实时警报。

报告和法规遵从性

FIM 有义务审核报告并证明遵守 PCI DSS、NERC CIP、FISMA、SOX、NIST 和 HIPAA 等合规要求，这些规定意味着未经授权或意外的文件更改是数据泄露的潜在迹象，需要记录和报告。FIM 解决方案有望生成有关所有类型的文件活动（如文件创建、修改和删除）的实时报告，以实现对主要法规的遵守。

增强用户体验

文件完整性监控（FIM）可以帮助用户了解网络安全状况和网络中敏感文件的安全状态。能够提供良好用户体验的 FIM 解决方案不仅可以帮助用户获得可操作的文件完整性见解，还可以帮助用户分析敏感文件更改的趋势。

企业中的文件完整性监控工具

Log360是具有文件完整性监控功能的综合 SIEM 解决方案，可以满足企业的安全需求，确保文件完整性和数据安全，能够解决以下 FIM 问题：

• 简化部署
• 扩展能力
• 高级报告
• 内部威胁检测
• 降噪
• 事件响应

简化部署

能够从单个控制台为所有网络资产配置 FIM，配置企业域后，该域中的所有设备和应用都会被自动发现。然后，管理员可以通过选择域中发现的设备或应用程序及其包含敏感数据的相应文件位置来配置文件监控。

扩展能力

可以满足扩展企业网络的数据安全需求。文件完整性监控（FIM）工具装有一个轻量级代理，用于从不同设备收集文件活动日志，该代理有助于在不断扩展的网络中跨 WAN 和防火墙轻松收集日志。在广泛的网络中，它有助于在配置的设备之间建立网络连接以收集日志数据。此外，该代理有助于平衡大型网络的开销负载，并促进 FIM 的无缝运行。

高级报告

提供有关文件相关事件的高级、详细的 FIM 报告。使管理员能够实时跟踪所有文件活动，如文件创建、修改、删除和权限更改，并在事件发生时生成全面的报告。高级报告功能和可审计的 FIM 报告可证明企业遵守了规范企业数据安全的一些主要要求，如PCI DSS、NERC CIP、FISMA、SOX、NIST和HIPAA。

内部威胁检测

使用高级用户和实体行为分析（UEBA）功能分析企业网络中与文件相关的用户交互，跟踪基于文件的异常用户行为并实时生成警报，还通过在这些用户参与可疑活动时对其进行风险评分来跟踪内部活动，从而帮助企业检测和预防内部威胁。

降噪

文件完整性监控工具包含预定义的关联规则和文件完整性威胁的警报配置文件。相关规则基于一组连续的文件相关事件，这些事件可能是恶意文件活动的潜在指示。对于拥有大量日志信息的大型企业，可疑事件的相关性可以揭示恶意文件活动，从而将其与合法活动区分开来。这有助于企业为潜在的文件威胁生成实时警报，从而减少误报的数量和相应的噪音（干扰）。

事件响应

Log360 由预定义的文件监控警报配置文件组成，包括用于文件创建、文件删除、文件修改、文件权限更改和文件重命名的不同警报配置文件，当检测到可疑文件活动时，这些配置文件会生成实时警报。它还使管理员能够在触发此类与文件相关的警报时为警报配置工作流。工作流是事件响应机制的有效组成部分，可帮助您防止数据泄露并应对对敏感数据的迫在眉睫的威胁。

Log360 是一种集成了 FIM 的 SIEM 解决方案，可以帮助企业确保文件完整性和数据安全性。