文件完整性监控软件
追踪文件和目录访问、移动和共享情况
使用文件完整性检查器检测恶意软件的威胁
恶意软件和高级持续威胁 (APT) 通常会访问和修改本地文件。Security Event Manager 文件完整性监控软件专门用于将来自防病毒工具和 IDS/IPS 的日志和文件审核事件相关联,以更轻松地检测 APT、恶意软件,并提高 FIM 的安全性。
您还可以配置 Security Event Manager 集成的事件响应操作 ,以便在满足终止恶意进程或隔离系统以完成端点保护的特定条件时将其触发。
证明符合 FIM 安全合规要求
轻松执行 Windows 文件完整性监控
您可以通过简单的配置流程,根据这里的 SolarWinds Customer Success 若干步骤,将 Security Event Manager 集成至 Microsoft OS。
与 SolarWinds 关于自定义的承诺相契合的是,您可以选择将 Windows FIM 工具设置为监控单个节点还是监控整个连接线的配置文件。在配置过程中,您可以自定义想要监控的文件、文件夹或访问条件。您还可以为 FIM 安全监控指定条件,因此与不太敏感的文件相比,可以更彻底地审查高度关键的数据。
获得更多关于文件完整性监控的内容
什么是文件完整性监控?
文件完整性监控(又称 "FIM")是监控特定文件更改的流程,可检测潜在的安全性危害。
文件受到安全威胁的方式有若干种,包括特权用户帐户受到危害的情况。由于此类用户通常可以访问文件修改凭证,因此可能会成为零日恶意软件、高级持续性威胁和来自系统外部的其他恶意软件的目标。
文件完整性监控如何工作?
文件完整性监控通过检查日志查找对重要系统文件、文件夹和注册表项的修改。虽然可以手动检查文件是否被更改,但 FIM 软件的设计目的是通过一个复杂的安全监控响应系统大规模地访问这些信息,以帮助检测文件更改是常规活动还是一种更恶意的安全威胁。
为什么 FIM 很重要?
为了保护您的系统免受不必要的数据修改、破坏和威胁,文件完整性监视至关重要,因为它能支持全面的安全预防和响应架构。
许多行业合规性标准也认识到 FIM 安全合规组织的重要性(包括 PCI DSS、SOX、HIPAA、NERC CIP、FISMA 和 SANS 关键安全控制),它们不仅要求您保护敏感数据,还需要证明如何维护一个安全的环境。
FIM 安全工具有什么作用?
对于网络攻击者来说,获得对敏感和私有数据的访问权可能是理想的目标,比如银行和信用卡信息、系统访问凭证和机密客户信息。文件完整性监控软件旨在追踪那些可能威胁到文件完整性的未经授权的文件更改,来帮助您检测各种威胁。FIM 安全工具通常与您的服务器集成,帮助保护系统,使其避开那些试图访问敏感数据的威胁
您可以使用 FIM 安全工具,以通过将文件审计事件与其他日志数据相关联,更好地确定是否存在恶意的文件更改,从而提供威胁情报,并更轻松地查明有侵害意图的行为。您还可以使用自动规则来避免配置触发器时可能带来的破坏性事件的威胁。
FIM 安全工具的设计目的是与其他安全措施相结合,帮助提供最有效的防御和补救系统,来对抗业务数据面临的各种威胁。
文件完整性监控如何在 Security Event Manager 中使用?
SolarWinds Security Event Manager 旨在通过集成的 FIM 安全工具的功能提供内外部的威胁防护措施,以提供多层防线来防止攻击。
SolarWinds SEM 是灵活的 SIEM 解决方案,它能够针对特别敏感的文件修改观测强度,可以同时监控多个文件的更改。和先前的 FIM 相比,SEM 的文件完整性监控工具还可以提供一套更全面的监控标准。
SEM 在单个解决方案中提供 FIM 和日志数据,从而帮助用户更快地看到概要图并排除故障。例如,当反病毒日志报告恶意软件,同时恶意软件试图访问您的敏感文件时,您能够更好地将其关联。SEM 还可以允许您观测到关键文件的具体更改,因此能够更简便地去除干扰。
相关工具和资源
什么是文件完整性监控?
文件完整性监控(又称 "FIM")是监控特定文件更改的流程,可检测潜在的安全性危害。
文件受到安全威胁的方式有若干种,包括特权用户帐户受到危害的情况。由于此类用户通常可以访问文件修改凭证,因此可能会成为零日恶意软件、高级持续性威胁和来自系统外部的其他恶意软件的目标。
Security Event Manager
- 使用交互式仪表板持续追踪文件数据的更改。
- 出现异常文件修改时收到警报。
- 证明符合 FIM 安全审核标准。