Grundlinie

Eine Grundlinie besteht darin, einen Schnappschuss bestimmter Teile eines Systems zu erstellen, um ihn mit einem zukünftigen Status zu vergleichen und Änderungen hervorzuheben.

Sie können beispielsweise den Hash-Wert jeder Datei des Dateisystems berechnen und speichern, um herauszufinden, welche Dateien geändert wurden. Dies kann auch mit den erstellten Benutzerkonten, laufenden Prozessen, laufenden Diensten und allem anderen, das sich nicht viel oder gar nicht ändern sollte, durchgeführt werden.

Dateiintegritätsüberwachung

Die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) ist eine wichtige Sicherheitstechnik, die IT-Umgebungen und Daten durch die Verfolgung von Änderungen in Dateien schützt. Sie umfasst zwei wesentliche Schritte:

1. Vergleich der Grundlinie: Erstellen Sie eine Grundlinie mithilfe von Dateiattributen oder kryptografischen Prüfsummen (wie MD5 oder SHA-2) für zukünftige Vergleiche, um Modifikationen zu erkennen.

2. Benachrichtigung über Echtzeitänderungen: Erhalten Sie sofortige Benachrichtigungen, wenn Dateien aufgerufen oder geändert werden, in der Regel über Betriebssystem-Kernel-Erweiterungen.

Tools

• https://github.com/topics/file-integrity-monitoring

• https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software

Referenzen

• https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it