Baseline Monitoring

Baseline

Eine Baseline besteht darin, einen Schnappschuss bestimmter Teile eines Systems zu machen, um ihn mit einem zukünftigen Status zu vergleichen und Änderungen hervorzuheben.

Zum Beispiel können Sie den Hash-Wert jeder Datei des Dateisystems berechnen und speichern, um herauszufinden, welche Dateien geändert wurden. Dies kann auch mit den erstellten Benutzerkonten, laufenden Prozessen, laufenden Diensten und allem anderen gemacht werden, was sich nicht viel oder gar nicht ändern sollte.

Datei-Integritätsüberwachung

Die Datei-Integritätsüberwachung (FIM) ist eine kritische Sicherheitstechnik, die IT-Umgebungen und Daten schützt, indem Änderungen an Dateien verfolgt werden. Sie umfasst zwei wesentliche Schritte:

1. Vergleich der Baseline: Eine Baseline anhand von Dateiattributen oder kryptografischen Prüfsummen (wie MD5 oder SHA-2) erstellen, um zukünftige Vergleiche zur Erkennung von Änderungen durchzuführen.

2. Benachrichtigung über Echtzeitänderungen: Sofortige Benachrichtigungen erhalten, wenn auf Dateien zugegriffen oder sie geändert werden, in der Regel über OS-Kernel-Erweiterungen.

Tools

• https://github.com/topics/file-integrity-monitoring

• https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software

Referenzen

• https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it