Haga clic aquí para expandir

Monitoreo de integridad de archivos (FIM)

La supervisión de la integridad de los archivos es una función que le ayuda a supervisar todos los cambios (adición / eliminación / modificación) realizados en los archivos y carpetas en los sistemas Windows y Linux.

Nota importante: se recomienda que FIM se implemente para archivos y carpetas estrictamente necesarios para evitar problemas de espacio en disco que pueden aumentar debido al alto volumen de registros generados.

Requisitos previos para la supervisión de la integridad de los archivos

Ventanas:

  • Cuando habilita File Integrity Monitoring para Windows, ciertas políticas de acceso se habilitarán automáticamente en el servidor de archivos. Si hay GPO primordiales para la política de auditoría en su dominio, siga el procedimiento a continuación para habilitarlos manualmente.
    • En el símbolo del sistema del administrador, ingrese el comando
      auditpol / get / category: "Acceso a objetos"
    • Luego proceda a habilitar las siguientes políticas de acceso
      • Auditoría de archivos compartidos
      • Sistema de archivos de auditoría
      • Manipulación de la manija de auditoría
      • Auditar el recurso compartido de archivos detallado
      • Audite otros eventos de acceso a objetos.
  • Las SACL deben estar habilitadas para los archivos / carpetas monitoreados. El producto los habilita automáticamente. De lo contrario, actualice manualmente las SACL con los siguientes permisos ( vea cómo )
    • Ejecutar archivos / carpeta transversal
    • Escribir datos / crear archivos
    • Agregar datos / crear carpetas
    • Escribir atributos
    • Escribir atributos extendidos
    • Eliminar subcarpetas y archivos
    • Eliminar permisos de lectura
    • Cambiar permisos
    • Tomar posesión

Linux:

  • El servidor SSH debe instalarse en la máquina Linux (obligatorio solo para la instalación).
  • Asegúrese de que el demonio de auditoría esté instalado y configurado en sus máquinas Linux. También asegúrese de que el
    • La versión del kernel de Linux es 2.6.25 o superior
    • La versión del marco de auditoría de Linux es superior a 1.8
  • Si la regla de bloqueo de syscall y la regla inmutable son reglas habilitadas de
    /etc/audit/audit.rules, elimínelas con los siguientes comandos:
    • Regla de bloqueo de syscall, -a nunca, tarea
    • Regla inmutable, -e 2
  • Si habilita la auditoría para máquinas SUSE, establezca la siguiente regla:
    • Vaya a / etc / sysconfig / auditd
    • Establecer AUDITD_DISABLE_CONTEXTS = no
  • Si existe Linux con seguridad mejorada (SELinux), entonces debe estar en modo permisivo o deshabilitado:
    • Verifique el estado de SELinux usando el comando: getenforce.
    • Si el estado es 'Obligado', navegue hasta el archivo / etc / selinux / config y realice esta edición: SELINUX = permissive.
    • Reinicie el servidor.

Nota: La configuración de FIM para Linux audita las siguientes acciones en archivos de Linux:

  • Leer
  • Escribir
  • Ejecutar
  • Cambio de atributo

Configuración de la supervisión de la integridad de los archivos

Para configurar File Integrity Monitoring, vaya a

  • Vaya a Configuración  >  Configuraciones > Administrar monitoreo de integridad de archivos .
  • Dependiendo del dispositivo en el que se encuentren los archivos y carpetas que desea monitorear, haga clic en la pestaña de Windows o Linux.
  • Haga clic en Agregar FIM .
  • Elija el dispositivo en el que se encuentran los archivos / carpetas, ingrese las credenciales correctas, busque y seleccione los archivos y carpetas que desea monitorear. Alternativamente, puede ingresar la ubicación de los archivos / carpetas.
Nota: Para dispositivos Linux, además de ingresar los detalles mencionados anteriormente, también se le pedirá que ingrese el número de puerto SSH.
  • El filtro  de exclusión le ofrece la opción de excluir
    1. Ciertos tipos de archivos.
    2. Ciertas sububicaciones dentro de la ubicación principal.
    3. Todas las sububicaciones dentro de la ubicación principal.
  • Si desea saber quién ha realizado el cambio en el archivo o carpeta, marque la casilla de verificación Auditar nombre de usuario .
  • Nota: Para dispositivos Linux, el nombre de usuario se audita de forma predeterminada.
  • Haga clic en Configurar .

Configuración de la supervisión de integridad de archivos a granel

Si es necesario agregar los mismos archivos y carpetas ubicados en varios dispositivos para monitorear, entonces se puede usar la función Bulk File Integrity Monitoring.

  • Vaya a Configuración  >  Configuraciones > Administrar monitoreo de integridad de archivos .
  • Dependiendo del dispositivo en el que se encuentren los archivos y carpetas que desea monitorear, haga clic en la pestaña de Windows o Linux .
  • Haga clic en Agregar FIM. Seleccione Configurar varios dispositivos en la esquina superior derecha.
  • Elija el dispositivo en el que se encuentran los archivos / carpetas, ingrese las credenciales correctas y seleccione la (s) plantilla (s) de archivo.
Nota: Para dispositivos Linux, además de ingresar los detalles mencionados anteriormente, también se le pedirá que ingrese el número de puerto SSH.
  • Haga clic en Configurar .
Notas: 
  • Si ya hay un agente instalado en el dispositivo cuyos archivos desea supervisar, la supervisión de archivos se habilitará automáticamente en el agente.
  • Si no hay ningún agente instalado en el dispositivo para el que desea supervisar los archivos, se instalará un agente y se habilitará la supervisión de archivos en el agente.
  • Tenga en cuenta que el volumen de registros generados por cada cambio que se produce en las carpetas puede afectar el rendimiento del servidor de archivos. Es una práctica recomendada limitar la supervisión de archivos / carpetas a los archivos / carpetas requeridos.

Administrar plantillas de monitoreo de integridad de archivos (FIM)

Si es necesario monitorear el mismo archivo o carpeta en varios dispositivos, entonces se puede crear una plantilla y asignarla a estos dispositivos. Para crear una plantilla FIM, siga los pasos a continuación:

  • Vaya a Configuración> Configuraciones> Administrar monitoreo de integridad de archivos> Plantillas FIM.
  • Dependiendo del dispositivo en el que se encuentren los archivos y carpetas que desea monitorear, haga clic en la pestaña de Windows o Linux.
  • Haga clic en Agregar FIM.
  • Ingrese un nombre para la plantilla y seleccione las ubicaciones de los archivos y carpetas.
  • Alternativamente, puede ingresar la ubicación de los archivos / carpetas.

  • El filtro de exclusión le ofrece la opción de excluir
  1. Ciertos tipos de archivos.
  2. Ciertas sububicaciones dentro de la ubicación principal.
  3. Todas las sububicaciones dentro de la ubicación principal.
  • Si desea saber quién ha realizado el cambio en el archivo o carpeta, marque la casilla de verificación Auditar nombre de usuario .
  • Haga clic en Configurar.
  • Todas las plantillas creadas se enumeran en una columna tabular con una opción para editarlas / eliminarlas.

    Obtener enlace de descarga