文件完整性监控 (FIM)
文件完整性监控是一项功能,可帮助您监控 Windows 和 Linux 系统中文件和文件夹的所有更改(添加/删除/修改)。
重要提示:
- 建议仅对必要的文件和文件夹实施 FIM,以避免由生成的日志数量过多导致的磁盘空间问题。
- 在 Windows FIM 模块中,监视需要 Windows 服务器和 Windows 文件服务器许可证。
文件完整性监控先决条件
Windows:
- 当您为 Windows 启用文件完整性监控时,将自动启用某些文件服务器的访问策略。如果在您的域中存在覆盖审核策略的 GPO,请按照以下步骤手动启用它们
- 在管理员命令提示符中输入以下命令:
auditpol/get/category:"Object Access"
- 然后继续启用以下访问策略
- 审核文件共享
- 审核文件系统
- 审核句柄操作
- 审核详细的文件共享
- 审核其他对象访问事件。
- 所监控的文件/文件夹应启用 SACLs。此产品会自动启用它们。如果没有,请手动使用以下权限更新 SACLs (查看如何)
- 执行文件/遍历文件夹
- 写数据/创建文件
- 附加数据/创建文件夹
- 写属性
- 写扩展属性
- 删除子文件夹和文件
- 删除读取权限
- 更改权限
- 取得所有权
Linux:
- 在 Linux 机器上应安装 SSH 服务器(仅限安装时必需)。
- 确保已在 Linux 机器上安装和配置审计守护程序。同时,确保:
- Linux 内核版本为 2.6.25 或更高版本
- Linux 审计框架版本高于 1.8
- 如果从 /etc/audit/audit.rules 启用了系统调用块规则和不可变规则,请删除以下规则:
- 系统调用块规则,-a never,task
- 不可变规则,-e 2
- 如果您正在为 SUSE 机器启用审计,请设置以下规则:
- 导航到 /etc/sysconfig/auditd
- 设置 AUDITD_DISABLE_CONTEXTS = no
- 如果存在安全增强型 Linux(SELinux),则必须处于宽容模式或禁用状态:
- 使用命令 getenforce 检查 SELinux 状态。
- 如果状态为“强制执行”,请导航到文件 /etc/selinux/config 并进行以下编辑:SELINUX = permissive。
- 重新启动服务器。
注意: 配置 Linux 的 FIM 将审计 Linux 文件的以下操作:
配置文件完整性监控
要配置文件完整性监控,请执行以下步骤:
- 导航至设置 > 配置 > 管理文件完整性监控。
- 根据您要监控的文件或文件夹所在的设备,单击Windows或Linux选项卡。
- 单击添加FIM。
- 选择包含要监控的文件或文件夹的设备,输入正确的凭据,浏览并选择您要监控的文件和文件夹。或者,您也可以输入文件/文件夹的位置。
注意:对于Linux设备,除了输入上述详细信息外,还会提示您输入SSH端口号。
配置批量文件完整性监控
如果需要添加多个设备中相同的文件和文件夹进行监控,则可以使用批量文件完整性监控功能。
- 导航到设置 > 配置 > 管理文件完整性监控。
- 根据您要监视的文件和文件夹所在的设备,单击Windows或Linux选项卡。
- 单击添加FIM。在右上角选择配置多个设备。
- 选择文件模板,选择所在的设备,输入正确的凭据。
注意:对于Linux设备,除了输入上述详细信息外,您还将被提示输入SSH端口号。
备注:
- 如果设备中已经安装了代理程序,那么文件监控将自动在代理程序中启用。
- 如果设备中尚未安装代理程序以监控文件,则将安装代理程序并在其中启用文件监控。
- 请注意,每次发生更改时生成的日志量可能会影响文件服务器的性能。建议将文件/文件夹监控限制在所需的文件/文件夹范围内。
管理文件完整性监控(FIM)模板
如果需要在多个设备中监控相同的文件或文件夹,则可以创建一个模板并将其分配给这些设备。请按照以下步骤创建FIM模板:
- 导航到设置 > 配置 > 管理文件完整性监控 > FIM模板。
- 根据要监视的文件和文件夹所在的设备,单击Windows或Linux选项卡。
- 单击添加FIM。
- 输入模板名称并选择文件和文件夹的位置。
或者,您可以输入文件/文件夹的位置。
- 排除过滤器提供了排除以下选项:
- 特定文件类型。
- 主位置内的特定子位置。
- 主位置内的所有子位置。
- 如果想知道是谁更改了文件或文件夹,请选中审核用户名复选框。
- 单击配置。
所有创建的模板都在一个表格列中列出,并提供编辑/删除选项。
