File Integrity Monitoring
Aktuell in der Beta Version verfügbar
Last updated
Aktuell in der Beta Version verfügbar
Last updated
Unter dem Punkt File Integrity Monitoring (FIM) versteckt sich der Schlüssel zur Integrität Ihrer Dateien. Hier werden ausschließlich die, von Ihnen zuvor in den File Integrity Monitoring Regelwerken definierten, Zugriffe auf Verzeichnisse/Daten erfasst und für Sie übersichtlich aufbereitet dargestellt. Durch eigens erstellte Regelwerke können Sie kritische Verzeichnisse unter Beobachtung stellen und somit Änderungen an Systemdateien frühzeitig ausmachen.
Unter dem Punkt FIM Cockpit finden Sie mehrere Übersichten über alle Zugriffe auf, innerhalb der Regelwerke definierten, Verzeichnisse/Daten. Dies können zum Beispiel neu erstellte oder gelöschte Dateien innerhalb der Verzeichnisse sein oder auch Änderungen an Dateien oder deren Metadaten.
Die Darstellungen im FIM Cockpit beinhalten Informationen über das betroffene Verzeichnis, den expliziten Dateinamen, die durchgeführte Operation, den betroffenen Host und die Anzahl der detektierten Aktionen. Nutzen Sie die aktuelle 24/h Ansicht oder legen Sie den Start- und Endzeitpunkt der Darstellung individuell fest.
Die Einzelübersichten umfassen:
| Übersicht | Inhalt |
|---|---|
Eventverlauf (Critical, High, Medium, Low) | Grafische Darstellung erfasster Logs nach Kritikalität. |
Häufigste Events (Critical, High, Medium, Low) | Detaillierte Auflistung erfasster Logs nach Kritikalität. |
Einmalige Programme | Grafische Darstellung der Gesamtanzahl betroffener Programme. |
Einmalige Verzeichnisse | Grafische Darstellung der Gesamtanzahl betroffener Verzeichnisse. |
Einmalige Hosts | Grafische Darstellung der Gesamtanzahl der von FIM erfassten Hosts. |
Neue Dateien (Critical, High, Medium, Low) | Detaillierte Auflistung neu erstellter Dateien. |
Verlauf fehlgeschlagener Events (Critical, High, Medium, Low) | Grafische Darstellung aller abgelehnten Zugriffsversuche aufgrund fehlender Berechtigungen. |
Fehlgeschlagene Events (Critical, High, Medium, Low) | Detaillierte Auflistung aller abgelehnten Zugriffsversuche aufgrund fehlender Berechtigungen. |
Mittels Klick auf den zugehörigen Host gelangen Sie zur ausführlichen Hostdetails Ansicht.
Nutzen Sie die Regelwerke, um potenziell kritische Operationen innerhalb Ihrer Systeme zu erfassen und zu kategorisieren. Schon zu Beginn finden Sie hier 3 vorkonfigurierte Regelwerke für die Schweregrade Critical, High sowie Medium und können zusätzlich auch eigene Regelwerke erstellen und verwalten.
Wir empfehlen Ihnen die Nutzung der vordefinierten Regelwerke, da diese bereits kritische Verzeichnisse beinhalten deren Überwachung wir Ihnen nahe legen.
FIM erzeugt für jede Umbenennung oder Verschiebung einer Datei separate DELETE- und CREATE-Events für die ursprüngliche sowie die neue Datei.
Diese Methode ermöglicht eine präzise Erfassung aller Änderungen, ohne auf Dateien außerhalb des überwachten Pfades zuzugreifen, und stellt maximale Transparenz und Genauigkeit sicher.
FIM ist für Dateien und Ordner auf Laufwerken, die keine Zugriffsüberwachung unterstützen, nicht verfügbar! Dies betrifft beispielsweise mit VeraCrypt eingebundene verschlüsselte Volumes. Ob FIM auf einem Laufwerk unterstützt wird, ist am Vorhandensein des Reiters "Sicherheit" in den Eigenschaften einer Datei auf dem Laufwerk erkennbar.
Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und Beschreibung.
Aktiviert: Aktivieren bzw. Deaktivieren Sie Ihr Regelwerk.
Schweregrad: Wählen Sie aus den Graden: Critical, High, Medium oder Low aus, welche Kritikalität eine Aktion innerhalb der nachfolgend definierten Dateipfade für Sie hat.
Operationen: Entscheiden Sie welche Arten der Aktivität von der Regel erfasst werden. - Create Eine Datei wird erstellt. - Change Der Dateiinhalt wird verändert.
- Alter Metadaten wie Zugriffsrechte oder Besitzer werden verändert.
- Delete Eine Datei wird gelöscht.
Dateipfad: Legen Sie zu betrachtende Dateipfade fest. Beachten Sie die korrekte Angabe, für reibungslose Erfassung der Systemänderungen.
Host-Zuordnung: Entscheiden Sie, ob das Regelwerk ausschließlich für die in der Referenz zu definierenden Systeme gilt. oder ordnen Sie das Regelwerk allen Hosts mit zugeordneten Tags zu. Bestimmen Sie in diesem Fall außerdem, ob die Referenz alle Tags beinhalten muss oder ob nur mindestens ein angegebener Tag vorhanden sein muss.
Unter Logs finden Sie das Resultat Ihrer zuvor definierten Regelwerke. Hier sehen Sie aufgelistet, welche Operation innerhalb welchen Verzeichnisses dem vorher definierten Schweregrades zugeordnet wurde.
Beachten Sie, dass nur in Regelwerken definierte Logs auch hier abgebildet werden.
Nutzen Sie die Searchbar, um gezielt nach Einträgen zu filtern oder klicken Sie auf zutreffende Felder, um sich ähnliche Ergebnisse ausgeben zu lassen. Sie können Ihre Ergebnisse durch das Setzen mehrerer Filter eindämmen.
Beachten Sie, dass bei Massenverschiebungen oder Massenumbenennungen in unserem System eventuell nicht für jedes einzelne verschobene Objekt ein separater Log-Eintrag erstellt wird. Trotzdem werden in der Regel genügend Log-Einträge generiert, um eindeutig anzuzeigen, dass eine Massenverschiebung bzw. -umbenennung stattgefunden hat.
Ab Version 6.2.0 des Enginsight Pulsar ist FIM auch für macOS verfügbar. Hierfür ist jedoch nötig, dass der Pulsar die Berechtigung zum Festplattenvollzugriff erhält. Gehen Sie dazu wie folgt vor:
Rufen Sie die Systemeinstellungen auf.
Wechseln Sie weiter zum Abschnitt "Datenschutz & Sicherheit".
Unter "Festplattenvollzugriff" sollte bereits ein Eintrag für den Pulsar sichtbar sein. Aktivieren Sie diesen, um FIM zu ermöglichen.
Sollte kein Eintrag für den Pulsar sichtbar sein, fügen Sie diesen per Klick auf + hinzu. Die App finden Sie im Programmverzeichnis (/Applications/Enginsight Pulsar.app).
Nachdem Sie die Berechtigung erteilt haben ist FIM nun einsetzbar. Ein Neustart ist nicht nötig.
Mehr zum Thema File Integrity Monitoring mit Enginsight finden Sie hier.
