hacktricks/src/generic-methodologies-and-resources/basic-forensic-methodology/file-integrity-monitoring.md

{{#include ../../banners/hacktricks-training.md}}

Podstawa

Podstawa polega na zrobieniu zrzutu niektórych części systemu, aby porównać go z przyszłym stanem w celu uwydatnienia zmian.

Na przykład, możesz obliczyć i przechować hash każdego pliku w systemie plików, aby móc dowiedzieć się, które pliki zostały zmodyfikowane.
Można to również zrobić z kontami użytkowników, uruchomionymi procesami, działającymi usługami i innymi rzeczami, które nie powinny się zbytnio zmieniać lub wcale.

Monitorowanie integralności plików

Monitorowanie integralności plików (FIM) to kluczowa technika zabezpieczeń, która chroni środowiska IT i dane poprzez śledzenie zmian w plikach. Obejmuje dwa kluczowe kroki:

1. Porównanie podstawy: Ustal podstawę, używając atrybutów plików lub kryptograficznych sum kontrolnych (takich jak MD5 lub SHA-2) do przyszłych porównań w celu wykrycia modyfikacji.
2. Powiadomienie o zmianach w czasie rzeczywistym: Otrzymuj natychmiastowe powiadomienia, gdy pliki są otwierane lub zmieniane, zazwyczaj za pośrednictwem rozszerzeń jądra systemu operacyjnego.

Narzędzia

• https://github.com/topics/file-integrity-monitoring
• https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software

Odniesienia

• https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it

{{#include ../../banners/hacktricks-training.md}}