7 Perisian Pemantauan Integriti Fail Terbaik (Ulasan 2021)

Keselamatan IT adalah topik hangat. Berita ini penuh dengan cerita tentang pelanggaran keselamatan, kecurian data atau perisian tebusan. Sesetengah akan berpendapat bahawa semua ini hanyalah tanda zaman kita tetapi ia tidak mengubah hakikat bahawa apabila anda ditugaskan untuk mengekalkan apa-apa jenis persekitaran IT, melindungi daripada ancaman sedemikian adalah bahagian penting dalam tugas.

Atas sebab itu, perisian Pemantauan Integriti Fail (FIM) hampir menjadi alat yang sangat diperlukan untuk mana-mana organisasi. Tujuan utamanya adalah untuk memastikan sebarang perubahan fail yang tidak dibenarkan atau tidak dijangka dikenal pasti dengan cepat. Ia boleh membantu meningkatkan keselamatan data keseluruhan, yang penting untuk mana-mana syarikat dan tidak boleh diabaikan.

Hari ini, kita akan mulakan dengan melihat secara ringkas Pemantauan Integriti Fail. Kami akan melakukan yang terbaik untuk menerangkan secara ringkas apa itu dan cara ia berfungsi. Kami juga akan melihat siapa yang harus menggunakannya. Kemungkinan besar tidak akan mengejutkan untuk mengetahui bahawa sesiapa sahaja boleh mendapat manfaat daripadanya dan kami akan melihat bagaimana dan mengapa. Dan setelah kami semua berada di halaman yang sama tentang Pemantauan Integriti Fail, kami akan bersedia untuk memasuki teras siaran ini dan menyemak secara ringkas beberapa alat terbaik yang ditawarkan oleh pasaran.

Apakah Pemantauan Integriti Fail?

Pada terasnya, pemantauan integriti fail ialah elemen utama proses pengurusan keselamatan IT. Konsep utama di sebaliknya adalah untuk memastikan bahawa sebarang pengubahsuaian kepada sistem fail diambil kira dan sebarang pengubahsuaian yang tidak dijangka dikenal pasti dengan cepat.

Walaupun sesetengah sistem menawarkan pemantauan integriti fail dalam masa nyata, ia cenderung memberi impak yang lebih tinggi pada prestasi, Atas sebab itu, sistem berasaskan syot kilat sering diutamakan. Ia berfungsi dengan mengambil gambar sistem fail pada selang masa yang tetap dan membandingkannya dengan yang sebelumnya atau garis dasar yang telah ditetapkan sebelumnya. Tidak kira bagaimana pengesanan berfungsi (masa nyata atau tidak), sebarang perubahan yang dikesan yang mencadangkan sejenis akses tidak dibenarkan atau aktiviti berniat jahat (seperti perubahan mendadak dalam saiz fail atau akses oleh pengguna atau kumpulan pengguna tertentu) dan makluman adalah dibangkitkan dan/atau beberapa bentuk atau proses pemulihan dilancarkan. Ia boleh terdiri daripada memunculkan tetingkap amaran kepada memulihkan fail asal daripada sandaran atau menyekat akses kepada fail terancam.

Untuk Siapa Pemantauan Integriti Fail?

Jawapan pantas untuk soalan ini adalah sesiapa sahaja. Sebenarnya, mana-mana organisasi boleh mendapat manfaat daripada menggunakan perisian Pemantauan Integriti Fail. Walau bagaimanapun, ramai yang akan memilih untuk menggunakannya kerana mereka berada dalam keadaan di mana ia diwajibkan. Sebagai contoh, perisian Pemantauan Integriti Fail sama ada diperlukan atau dinyatakan dengan kuat oleh rangka kerja pengawalseliaan tertentu seperti PCI DSS, Sarbanes-Oxley atau HIPAA. Secara konkrit, jika anda berada dalam sektor kewangan atau penjagaan kesihatan, atau jika anda memproses kad pembayaran, Pemantauan Integriti Fail lebih merupakan keperluan daripada pilihan.

Begitu juga, walaupun ia mungkin tidak wajib, mana-mana organisasi yang berurusan dengan maklumat sensitif harus mempertimbangkan perisian Pemantauan Integriti Fail. Sama ada anda menyimpan data pelanggan atau rahsia perdagangan, terdapat kelebihan yang jelas dalam menggunakan jenis alat ini. Ia boleh menyelamatkan anda daripada segala macam kemalangan.

Tetapi Pemantauan Integriti Fail bukan sahaja untuk organisasi besar. Walaupun perusahaan besar dan perniagaan bersaiz sederhana cenderung menyedari kepentingan perisian Pemantauan Integriti Fail, perniagaan kecil pastinya harus mempertimbangkannya juga. Ini benar terutamanya apabila anda mengambil kira bahawa terdapat alat Pemantauan Integriti Fail yang sesuai dengan setiap keperluan dan belanjawan. Malah, beberapa alat dalam senarai kami adalah percuma dan sumber terbuka.

Perisian Pemantauan Integriti Fail terbaik

Terdapat banyak alat yang menawarkan fungsi Pemantauan Integriti Fail. Sebahagian daripada mereka adalah alat khusus yang pada dasarnya tidak melakukan apa-apa lagi. Sesetengah, sebaliknya, adalah penyelesaian keselamatan IT yang luas yang menyepadukan Pemantauan Integriti Fail bersama-sama dengan fungsi berkaitan keselamatan yang lain. Kami telah cuba untuk memasukkan kedua-dua jenis alatan pada senarai kami. Lagipun, Pemantauan Integriti Fail selalunya merupakan sebahagian daripada usaha pengurusan keselamatan IT yang merangkumi fungsi lain. Mengapa tidak pergi untuk alat bersepadu, kemudian.

1. Pengurus Acara Keselamatan SolarWinds (PERCUBAAN PERCUMA)

Ramai pentadbir rangkaian dan sistem sudah biasa dengan SolarWinds . Lagipun, syarikat itu telah membuat beberapa alat terbaik selama kira-kira dua puluh tahun. Produk utamanya, yang dipanggil SolarWinds Network Performance Monitor dianggap sebagai salah satu alat yang terbaik di pasaran. Dan untuk menjadikan perkara lebih baik, SolarWinds juga menerbitkan alatan percuma yang menangani beberapa tugas pentadbiran rangkaian tertentu.

Walaupun SolarWinds tidak membuat alat pemantauan integriti fail khusus, alat Keselamatan Maklumat dan Pengurusan Acara (SIEM), Pengurus Acara Keselamatan SolarWinds , termasuk modul pemantauan integriti fail yang sangat baik. Produk ini sememangnya salah satu sistem SIEM peringkat permulaan terbaik di pasaran. Alat ini mempunyai hampir semua yang diharapkan daripada alat SIEM. Ini termasuk ciri pengurusan log dan korelasi yang sangat baik serta enjin pelaporan yang mengagumkan dan, sudah tentu, pemantauan integriti fail.

PERCUBAAN PERCUMA: Pengurus Acara Keselamatan SolarWinds

Pautan Muat Turun Rasmi: https://www.solarwinds.com/security-event-manager/registration

Apabila ia berkaitan dengan pemantauan integriti fail, Pengurus Acara Keselamatan SolarWinds boleh menunjukkan pengguna yang bertanggungjawab untuk perubahan fail. Ia juga boleh menjejaki aktiviti pengguna tambahan, membolehkan anda membuat pelbagai makluman dan laporan. Bar sisi halaman utama alat boleh memaparkan berapa banyak peristiwa perubahan telah berlaku di bawah pengepala Pengurusan Perubahan. Apabila sesuatu kelihatan mencurigakan dan anda ingin menggali lebih mendalam, anda mempunyai pilihan untuk menapis acara mengikut kata kunci.

Alat ini juga mempunyai ciri tindak balas acara yang sangat baik yang tidak meninggalkan apa-apa yang diingini. Sebagai contoh, sistem respons masa nyata yang terperinci akan bertindak balas secara aktif kepada setiap ancaman. Dan kerana ia berdasarkan tingkah laku dan bukannya tandatangan, anda dilindungi daripada ancaman yang tidak diketahui atau akan datang dan serangan sifar hari.

Sebagai tambahan kepada set ciri yang mengagumkan , papan pemuka Pengurus Acara Keselamatan SolarWinds sememangnya bernilai dibincangkan. Dengan reka bentuknya yang ringkas, anda tidak akan menghadapi masalah mencari jalan keluar dari alat tersebut dan mengenal pasti anomali dengan cepat. Bermula pada sekitar $4 500, alat ini lebih mampu milik. Dan jika anda ingin mencubanya dan melihat cara ia berfungsi dalam persekitaran anda, versi percubaan 30 hari yang berfungsi sepenuhnya percuma tersedia untuk dimuat turun.

Pautan Muat Turun Rasmi: https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC , yang bermaksud Open Source Security, salah satu sistem pengesanan pencerobohan berasaskan hos sumber terbuka yang paling terkenal. Produk ini dimiliki oleh Trend Micro , salah satu nama terkemuka dalam keselamatan IT dan pembuat salah satu suite perlindungan virus terbaik. Dan jika produk itu berada dalam senarai ini, yakinlah bahawa ia juga mempunyai fungsi pemantauan integriti fail yang sangat baik.

Apabila dipasang pada sistem pengendalian Linux atau Mac OS, perisian ini tertumpu terutamanya pada fail log dan konfigurasi. Ia mencipta jumlah semak fail penting dan mengesahkannya secara berkala, memberi amaran kepada anda apabila sesuatu yang ganjil berlaku. Ia juga akan memantau dan memaklumkan sebarang percubaan yang tidak normal untuk mendapatkan akses root. Pada hos Windows, sistem juga memerhatikan pengubahsuaian pendaftaran tanpa kebenaran yang boleh menjadi petanda aktiviti berniat jahat.

Apabila ia berkaitan dengan pemantauan integriti fail, OSSEC mempunyai fungsi khusus yang dipanggil Syscheck . Alat ini berjalan setiap enam jam secara lalai dan ia menyemak perubahan pada jumlah semak fail utama. Modul ini direka bentuk untuk mengurangkan penggunaan CPU, menjadikannya pilihan yang berpotensi baik untuk organisasi yang memerlukan penyelesaian pengurusan integriti fail dengan jejak yang kecil.

Oleh kerana sistem pengesanan pencerobohan berasaskan hos, OSSEC perlu dipasang pada setiap komputer (atau pelayan) yang anda ingin lindungi. Ini adalah kelemahan utama sistem sedemikian. Walau bagaimanapun, konsol berpusat tersedia yang menyatukan maklumat daripada setiap komputer yang dilindungi untuk pengurusan yang lebih mudah. Yang OSSEC konsol hanya berjalan pada sistem operasi Linux atau Mac OS. Walau bagaimanapun, ejen tersedia untuk melindungi hos Windows. Sebarang pengesanan akan mencetuskan amaran yang akan dipaparkan pada konsol berpusat manakala pemberitahuan juga akan dihantar melalui e-mel.

3. Integriti Fail Samhain

Samhain ialah sistem pengesanan pencerobohan hos percuma yang menyediakan semakan integriti fail dan pemantauan/analisis fail log. Selain itu, produk ini juga melaksanakan pengesanan rootkit, pemantauan port, pengesanan penyangak boleh laku SUID dan proses tersembunyi. Alat ini telah direka bentuk untuk memantau berbilang sistem dengan pelbagai sistem pengendalian dengan pembalakan dan penyelenggaraan berpusat. Walau bagaimanapun, Samhain juga boleh digunakan sebagai aplikasi yang berdiri sendiri pada satu komputer. Alat ini boleh dijalankan pada sistem POSIX seperti Unix , Linux atau Mac OS . Ia juga boleh dijalankan pada Windows di bawah Cygwin walaupun hanya ejen pemantauan dan bukan pelayan telah diuji dalam konfigurasi itu.

Pada hos Linux, S amhain boleh memanfaatkan mekanisme inotify untuk memantau peristiwa sistem fail. Dalam masa nyata Ini membolehkan anda menerima pemberitahuan segera tentang perubahan, dan menghapuskan keperluan untuk imbasan sistem fail yang kerap yang boleh menyebabkan beban I/O yang tinggi. Selain itu, pelbagai checksum boleh disemak seperti TIGER192, SHA-256, SHA-1 atau MD5. Saiz fail, mod/kebenaran, pemilik, kumpulan, cap waktu (penciptaan/pengubahsuaian/akses), inod, bilangan pautan keras dan laluan terpaut pautan simbolik juga boleh disemak. Alat ini juga boleh menyemak lebih banyak sifat "eksotik" seperti atribut SELinux, POSIX ACL (pada sistem yang menyokongnya), atribut fail ext2 Linux (seperti yang ditetapkan oleh chattr seperti bendera tidak berubah), dan bendera fail BSD.

Salah satu ciri unik Samhain ialah mod siluman yang membolehkannya berjalan tanpa dikesan oleh penyerang akhirnya. Terlalu kerap penceroboh membunuh proses pengesanan yang mereka kenali, membolehkan mereka pergi tanpa disedari. Alat ini menggunakan teknik steganografi untuk menyembunyikan prosesnya daripada orang lain. Ia juga melindungi fail log pusat dan sandaran konfigurasi dengan kunci PGP untuk mengelakkan gangguan. Secara keseluruhan, ini adalah alat yang sangat lengkap yang menawarkan lebih daripada sekadar pemantauan integriti fail.

4. Pengurus Integriti Fail Tripwire

Seterusnya ialah penyelesaian daripada Tripwire , sebuah syarikat yang menikmati reputasi kukuh dalam keselamatan IT. Dan apabila ia berkaitan dengan pemantauan integriti fail, Tripwire File Integrity M anager ( FIM ) mempunyai keupayaan unik untuk mengurangkan hingar dengan menyediakan pelbagai cara untuk menyingkirkan perubahan berisiko rendah daripada yang berisiko tinggi sambil menilai, mengutamakan dan menyelaraskan perubahan yang dikesan. Dengan mempromosikan secara automatik banyak perubahan perniagaan seperti biasa, alat ini mengurangkan bunyi supaya anda mempunyai lebih banyak masa untuk menyiasat perubahan yang benar-benar boleh memberi kesan kepada keselamatan dan memperkenalkan risiko. Tripwire FIMmenggunakan ejen untuk terus menangkap butiran siapa, apa dan bila dalam masa nyata. Ini membantu memastikan anda mengesan semua perubahan, menangkap butiran tentang setiap satu dan menggunakan butiran tersebut untuk menentukan risiko keselamatan atau ketidakpatuhan.

Tripwire memberi anda keupayaan untuk menyepadukan Pengurus Integriti Fail dengan kebanyakan kawalan keselamatan anda: pengurusan konfigurasi keselamatan (SCM), pengurusan log dan alatan SIEM. Tripwire FIM menambah komponen yang menandai dan mengurus data daripada kawalan ini dengan lebih intuitif dan dengan cara yang melindungi data dengan lebih baik. Contohnya, Rangka Kerja Integrasi Acara ( EIF ) menambah data perubahan yang berharga daripada Pengurus Integriti Fail kepada Pusat Log Tripwire atau hampir mana-mana SIEM yang lain. Dengan EIF dan kawalan keselamatan Tripwire asas yang lain , anda boleh mengurus keselamatan infrastruktur IT anda dengan mudah dan berkesan.

Pengurus Integriti Fail Tripwire menggunakan automasi untuk mengesan semua perubahan dan untuk memperbaiki perubahan yang mengambil konfigurasi di luar dasar. Ia boleh disepadukan dengan sistem tiket perubahan sedia ada seperti BMC Remedy , Pusat Servis HP atau Service Now , membolehkan audit pantas. Ini juga memastikan kebolehkesanan. Tambahan pula, makluman automatik mencetuskan respons tersuai pengguna apabila satu atau lebih perubahan khusus mencapai ambang keterukan yang tidak akan menyebabkan satu perubahan sahaja. Contohnya, perubahan kandungan kecil yang disertai dengan perubahan kebenaran yang dilakukan di luar tetingkap perubahan yang dirancang.

5. AFICK (Pemeriksa Integriti Fail Lain)

Seterusnya ialah alat sumber terbuka daripada pembangun Eric Gerbier yang dipanggil AFICK (Pemeriksa Integriti Fail Lain) . Walaupun alat itu mendakwa menawarkan fungsi yang serupa dengan Tripwire, ia adalah produk yang jauh lebih mentah, sejajar dengan perisian sumber terbuka tradisional. Alat ini boleh memantau sebarang perubahan dalam sistem fail yang ditontonnya. Ia menyokong berbilang platform seperti Linux (SUSE, Redhat, Debian dan banyak lagi), Windows, HP Tru64 Unix, HP-UX dan AIX. Perisian ini direka bentuk untuk menjadi cepat dan mudah alih dan ia boleh berfungsi pada mana-mana komputer yang menyokong Perl dan modul standardnya.

Bagi fungsi AFICK , berikut ialah gambaran keseluruhan ciri utamanya. Alat ini mudah dipasang dan tidak memerlukan sebarang kompilasi atau pemasangan banyak kebergantungan. Ia juga merupakan alat yang pantas, disebabkan oleh saiznya yang kecil. Walaupun saiznya kecil, ia akan memaparkan fail baharu, dipadam dan diubah suai serta sebarang pautan berjuntai. Ia menggunakan fail konfigurasi berasaskan teks ringkas yang menyokong pengecualian dan pelawak dan menggunakan sintaks yang hampir sama dengan Tripwire atau Aide. Kedua-dua antara muka pengguna grafik berasaskan Tk dan antara muka web berasaskan webmin tersedia jika anda lebih suka menjauhkan diri daripada alat baris arahan.

AFICK (Pemeriksa Integriti Fail Satu Lagi) ditulis sepenuhnya dalam Perl untuk mudah alih dan akses sumber. Dan oleh kerana ia adalah sumber terbuka (dikeluarkan di bawah Lesen Awam Am GNU), anda bebas untuk menambah fungsi padanya mengikut kesesuaian anda. Alat ini menggunakan MD5 untuk keperluan checksumnya kerana ia pantas dan ia terbina dalam semua pengedaran Perl dan bukannya menggunakan pangkalan data teks yang jelas, dbm digunakan.

6. AIDE (Persekitaran Pengesanan Pencerobohan Lanjutan)

Walaupun nama yang agak mengelirukan, AIDE (Persekitaran Pengesanan Pencerobohan Lanjutan) sebenarnya adalah penyemak integriti fail dan direktori. Ia berfungsi dengan mencipta pangkalan data daripada peraturan ungkapan biasa yang ditemui daripada fail konfigurasinya. Setelah pangkalan data dimulakan, ia menggunakannya untuk mengesahkan integriti fail. Alat ini menggunakan beberapa algoritma ringkasan mesej yang boleh digunakan untuk menyemak integriti fail. Tambahan pula, semua atribut fail biasa boleh disemak untuk ketidakkonsistenan. Ia juga boleh membaca pangkalan data daripada versi lama atau lebih baharu.

Dari segi ciri, AIDE adalah penilai lengkap. Ia menyokong berbilang algoritma ringkasan mesej seperti md5, sha1, rmd160, tiger, crc32, sha256, sha512 dan whirlpool. Alat ini boleh menyemak beberapa atribut fail termasuk jenis Fail, Kebenaran, Inode, Uid, Gid, Nama pautan, Saiz, Kiraan blok, Bilangan pautan, Mtime, Ctime dan Atime. Ia juga boleh menyokong atribut sistem fail Posix ACL, SELinux, XAttrs dan Extended. Demi kesederhanaan, alat ini menggunakan fail konfigurasi teks biasa serta pangkalan data teks biasa. Salah satu ciri yang paling menarik ialah sokongan ekspresi biasa yang berkuasa yang membolehkan anda menyertakan atau mengecualikan fail dan direktori secara selektif untuk dipantau. Ciri ini sahaja menjadikannya alat yang sangat serba boleh dan fleksibel.

Produk yang telah wujud sejak tahun 1999 masih giat dibangunkan dan versi terkini (0.16.2) baru berusia beberapa bulan. Ia boleh didapati di bawah lesen awam umum GNU dan ia akan dijalankan pada kebanyakan varian moden Linux.

7. Pemantauan Integriti Fail Qualys

Pemantauan Integriti Fail Qualys daripada gergasi keselamatan Qualys ialah "penyelesaian awan untuk mengesan dan mengenal pasti perubahan kritikal, insiden dan risiko akibat daripada peristiwa biasa dan berniat jahat." Ia datang dengan profil luar biasa yang berdasarkan amalan terbaik industri dan garis panduan disyorkan vendor untuk pematuhan dan keperluan audit biasa, termasuk PCI DSS.

Pemantauan Integriti Fail Qualys mengesan perubahan dengan cekap dalam masa nyata, menggunakan pendekatan serupa yang digunakan dalam teknologi anti-virus. Pemberitahuan perubahan boleh dibuat untuk keseluruhan struktur direktori atau pada peringkat fail. Alat ini menggunakan isyarat kernel OS sedia ada untuk mengenal pasti fail yang diakses, bukannya bergantung pada pendekatan intensif pengiraan. Produk ini boleh mengesan penciptaan atau pengalihan fail atau direktori, penamaan semula fail atau direktori, perubahan pada atribut fail, perubahan pada tetapan keselamatan fail atau direktori seperti kebenaran, pemilikan, warisan dan pengauditan atau perubahan pada data fail yang disimpan pada cakera.

Ia adalah produk pelbagai peringkat. The Qualys Cloud Agent berterusan memantau fail-fail dan direktori yang dinyatakan dalam profil memantau anda dan ia menangkap data kritikal untuk membantu mengenal pasti apa yang berubah bersama-sama dengan butir-butir persekitaran seperti yang pengguna dan yang proses terlibat dalam perubahan itu. Ia kemudian menghantar data ke Platform Awan Qualys untuk analisis dan pelaporan. Salah satu kelebihan pendekatan ini ialah ia berfungsi sama sama ada sistem berada di premis, dalam awan atau jauh.

Fail Integrity Monitoring mudah diaktifkan pada anda yang sedia ada Qualys A kamar kecil pria , dan mula memantau perubahan dalam negara dengan kesan minimum ke titik akhir. The Qualys Platform Awan membolehkan anda dengan mudah skala untuk persekitaran terbesar. Kesan prestasi pada titik akhir yang dipantau diminimumkan dengan memantau perubahan fail secara setempat secara cekap dan menghantar data ke Platform Awan Qualys di mana semua kerja berat analisis dan korelasi berlaku. Bagi Ejen Awan Qualys , ia mengemas kini diri dan menyembuhkan diri, memastikan dirinya dikemas kini tanpa perlu but semula.