File Integrity Monitoring
Last updated
Was this helpful?
Last updated
Was this helpful?
File Integrity Monitoring (FIM) hilft Ihnen dabei, Veränderungen an wichtigen Dateien und Systemen in Ihrer IT-Infrastruktur zu erkennen und zu überwachen. Es ist besonders nützlich, um unbefugte Änderungen oder Manipulationen an kritischen Dateien, wie Systemkonfigurationen oder sicherheitsrelevanten Daten, frühzeitig zu identifizieren.
Beachten Sie zwingend, dass das FIM Modul nur funktioniert, wenn Sie dies zuvor in den Hosteinstellungen für den jeweiligen Host erlaubt haben. Setzen Sie hierfür ein Häkchen bei den Hosteinstellungen unter Core Features bei File Integrity Monitoring.
Im Dashboard sehen Sie eine klare Übersicht über die sicherheitsrelevanten Ereignisse in Ihrem System. Der Eventverlauf ist nach Schweregrad (kritisch, hoch, mittel, niedrig) unterteilt, sodass Sie schnell die wichtigsten Vorfälle identifizieren können. Die häufigsten Events zeigen, welche Bedrohungen oder Anomalien am häufigsten auftreten, ebenfalls kategorisiert nach Schweregrad. Diagramme veranschaulichen den Eventverlauf und helfen Ihnen, Trends und Muster zu erkennen. Zusätzlich gibt es eine Auflistung neuer Dateien, welche Ihnen hilft, jederzeit den Überblick zu behalten.
Nutzen Sie die Regelwerke, um potenziell kritische Operationen in Ihren Systemen zu erfassen und zu kategorisieren. Zu Beginn stehen Ihnen bereits vorkonfigurierte Regelwerke für die Schweregrade Critical, High und Medium zur Verfügung. Zusätzlich können Sie eigene Regelwerke erstellen und verwalten, um die Überwachung individuell an Ihre Anforderungen anzupassen.
Wir empfehlen Ihnen die Nutzung der vordefinierten Regelwerke, da diese bereits kritische Verzeichnisse beinhalten deren Überwachung wir Ihnen nahelegen.
Um ein neues Regelwerk zu erstellen klicken Sie auf die entsprechende Schaltfläche in der Ansicht.
FIM ist für Dateien und Ordner auf Laufwerken, die keine Zugriffsüberwachung unterstützen, nicht verfügbar! Dies betrifft beispielsweise mit VeraCrypt eingebundene verschlüsselte Volumes. Ob FIM auf einem Laufwerk unterstützt wird, ist am Vorhandensein des Reiters Sicherheit in den Eigenschaften einer Datei auf dem Laufwerk erkennbar.
Definieren Sie anschließend die folgenden Punkte, um Ihr Regelwerk zu erstellen.
Vergeben Sie einen aussagekräftigen Namen sowie eine kurze Beschreibung, um das Regelwerk klar zu identifizieren.
Aktivieren oder deaktivieren Sie das Regelwerk je nach Bedarf.
Ordnen Sie der Regel einen Schweregrad zu. Verfügbare Optionen sind Critical, High, Medium und Low.
Legen Sie die Operationen fest, welche erfasst werden sollen:
Create: Erstellung einer Datei.
Change: Veränderung des Datei-Inhalts.
Alter: Änderungen an Metadaten wie Zugriffsrechten oder Besitzern.
Delete: Löschen einer Datei.
Read: Zugriff auf eine Datei.
Definieren Sie Referenzen, welche explizit vom Regelwerk betrachtet bzw. ausgeschlossen werden sollen. Geben Sie hierzu entsprechende Hosts an und nutzen Sie Tags, um diese genauer zu definieren.
Definieren Sie die Dateipfade, die überwacht bzw. explizit von der Überwachung ausgeschlossen werden sollen. Achten Sie auf eine korrekte Angabe, um eine reibungslose Erfassung der Systemänderungen sicherzustellen.
Schließen Sie Ihre Konfiguration ab durch Klick auf die Schaltfläche Regelwerk hinzufügen.
Hier finden Sie die FIM-Logs, die alle relevanten Dateiänderungen im System protokollieren. Dazu gehören neu erstellte, geänderte oder gelöschte Dateien sowie alle Integritätsverletzungen, die von den festgelegten Sicherheitsrichtlinien abweichen. Die Logs enthalten Informationen über den Benutzer, Host sowie die Quelle der Änderung und das betroffene Regelwerk. Diese Aufzeichnungen helfen Ihnen, unautorisierte Änderungen zu identifizieren und die Systemintegrität zu überwachen. Nutzen Sie die Freitextsuche oder die Filter, um Einträge schnell ausfindig zu machen.
