Monitoreo efectivo de integridad de archivos (FIM)

5

Tengo cientos de servidores de Windows en mi entorno que necesito monitorear usando FIM.

Me temo que después de cada parche (cada parche puede afectar y cambiar el hash de cientos de archivos confidenciales) recibiré decenas de miles de falsas alertas positivas que necesitaré verificar e investigar una por una. >

¿Conoce una forma efectiva de gestionar este problema?

    
pregunta BokerTov 22.02.2016 - 11:09
fuente

2 respuestas

4

Si está buscando archivos cambiados, entonces sí, todos los archivos que se modifiquen alertarán. Así es exactamente cómo debería funcionar.

Las técnicas de mitigación habituales incluyen:

  • limitando la cantidad de archivos que verificas. Generalmente se basa en la criticidad o materialidad
  • obligando a su herramienta FIM a calcular nuevas sumas de comprobación como parte de su proceso de cambio

Ambos presentan riesgos de perder cambios no deseados.

    
respondido por el Rory Alsop 22.02.2016 - 16:03
fuente
3

Hay varias formas de abordar esto dependiendo de la solución FIM de "gran nombre" que haya implementado. Cada configuración crea un conjunto diferente de riesgos.

  1. Aprobar archivos basados en publicador : no se recomienda. No se puede confiar en el campo del editor a menos que haya una firma correspondiente.
  2. Aprobar según la firma : esto es más seguro, sin embargo, no todos los archivos están firmados. Más aún, es posible que un archivo que se firmó previamente no se firme después de ser actualizado.
  3. Aprobar según el hash : conoce los pros y los contras de los hashes
  4. Aprobar según la ruta de acceso : no se recomienda. Una ruta confiable permite que todos los archivos en un directorio especificado sean modificados y confiables. Puede ir un paso más allá e indicar que todos los archivos en un directorio solo pueden ser modificados / creados por un proceso específico.
  5. Ventana de confianza : esto básicamente permite que se produzcan cambios en los archivos durante una ventana de confianza. Uno querrá revisar todos los cambios antes de que la aplicación vuelva a la normalidad. Bastante la tarea desalentadora.
  6. Trusted Deployer : esta es probablemente tu mejor alternativa. Si usa un cliente para implementar parches en las máquinas (por ejemplo: BigFix, SCCM, etc.) puede marcar este cliente como un "instalador confiable" que le permite aplicar parches.

La solución FIM específica que ha implementado puede o no tener todos estos conjuntos de características.

    
respondido por el k1DBLITZ 22.02.2016 - 17:15
fuente

Lea otras preguntas en las etiquetas