La detección de intrusiones que utiliza algo como Tripwire que realiza verificaciones de integridad a través de funciones hash criptográficas de los archivos requiere un escaneo, para retocar el archivo y guardarlo para una comparación posterior. Este proceso lleva tiempo, por lo tanto, ¿qué archivos podemos esperar para protegernos de manera efectiva y qué archivos cambian con demasiada frecuencia para protegerlos?
Normalmente, las instalaciones predeterminadas de productos IDS basados en host como Tripwire, vendrán con una base de datos / lista de archivos protegidos. Por lo general, esto se centrará en cosas como los archivos de configuración y los binarios del sistema que cambian con poca frecuencia y no en cosas como los archivos de registro de aplicaciones que cambian con frecuencia.
Si necesita datos precisos para ese producto, le recomiendo que visite el sitio web de los proveedores, ya que tendrán datos más exactos para cada sistema operativo con el que trabajen.
Lea otras preguntas en las etiquetas integrity