Baseline Monitoring

Baseline

Un baseline consiste nel prendere uno snapshot di determinate parti di un sistema per confrontarlo con uno stato futuro per evidenziare cambiamenti.

Ad esempio, puoi calcolare e memorizzare l'hash di ciascun file del filesystem per poter scoprire quali file sono stati modificati. Questo può essere fatto anche con gli account utente creati, i processi in esecuzione, i servizi in esecuzione e qualsiasi altra cosa che non dovrebbe cambiare molto, o affatto.

Monitoraggio dell'Integrità dei File

Il Monitoraggio dell'Integrità dei File (FIM) è una tecnica di sicurezza critica che protegge gli ambienti IT e i dati tracciando le modifiche nei file. Coinvolge due passaggi chiave:

1. Confronto del Baseline: Stabilire un baseline utilizzando attributi dei file o checksum crittografici (come MD5 o SHA-2) per confronti futuri al fine di rilevare modifiche.

2. Notifica di Modifica in Tempo Reale: Ricevi avvisi istantanei quando i file vengono accessati o modificati, tipicamente tramite estensioni del kernel OS.

Strumenti

• https://github.com/topics/file-integrity-monitoring

• https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software

Riferimenti

• https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it