7 款最佳文件完整性監控軟件（2021 年評測）

IT 安全是一個熱門話題。新聞中充斥著安全漏洞、數據盜竊或勒索軟件的故事。有些人會爭辯說，所有這些都只是我們時代的標誌，但這並不能改變這樣一個事實，即當您負責維護任何類型的 IT 環境時，防範此類威脅是工作的重要組成部分。

因此，文件完整性監控 (FIM) 軟件幾乎已成為任何組織不可或缺的工具。其主要目的是確保快速識別任何未經授權或意外的文件更改。它可以幫助提高整體數據安全性，這對任何公司都很重要，不應被忽視。

今天，我們將首先簡要介紹文件完整性監控。我們將盡最大努力用簡單的術語解釋它是什麼以及它是如何工作的。我們還將看看誰應該使用它。發現任何人都可以從中受益，這很可能不會讓人感到意外，我們將看看如何以及為什麼。一旦我們都在關於文件完整性監控的同一頁面上，我們將準備好進入本文的核心並簡要回顧市場必須提供的一些最佳工具。

什麼是文件完整性監控？

就其核心而言，文件完整性監控是 IT 安全管理流程的關鍵要素。它背後的主要概念是確保對文件系統的任何修改都被考慮在內，并快速識別任何意外的修改。

雖然一些系統提供實時文件完整性監控，但它往往會對性能產生更大的影響，因此，基於快照的系統通常是首選。它的工作原理是定期拍攝文件系統的快照，並將其與前一個或先前建立的基線進行比較。無論檢測功能如何（實時與否），任何檢測到的表明存在某種未經授權的訪問或惡意活動（例如文件大小的突然變化或特定用戶或用戶組的訪問）和警報的變化都是提出和/或啟動某種形式或補救過程。它的範圍可以從彈出警報窗口到從備份恢復原始文件或阻止對瀕危文件的訪問。

誰是文件完整性監控的對象？

這個問題的快速答案是任何人。確實，任何組織都可以從使用文件完整性監控軟件中受益。但是，許多人會選擇使用它，因為他們處於強制要求的情況下。例如，某些監管框架（例如 PCI DSS、Sarbanes-Oxley 或 HIPAA）要求或強烈要求使用文件完整性監控軟件。具體而言，如果您在金融或醫療保健行業，或者如果您處理支付卡，則文件完整性監控與其說是一種選擇，不如說是一種要求。

同樣，雖然它可能不是強制性的，但任何處理敏感信息的組織都應該強烈考慮使用文件完整性監控軟件。無論您是存儲客戶數據還是商業機密，使用這些類型的工具都有明顯的優勢。它可以使您免於各種不幸。

但文件完整性監控不僅適用於大型組織。儘管大型企業和中型企業都傾向於意識到文件完整性監控軟件的重要性，但小型企業當然也應該考慮一下。當您考慮到有適合各種需求和預算的文件完整性監控工具時，尤其如此。事實上，我們列表中的幾個工具都是免費和開源的。

最好的文件完整性監控軟件

有無數工具提供文件完整性監控功能。其中一些是專用工具，基本上什麼都不做。另一方面，有些是廣泛的 IT 安全解決方案，將文件完整性監控與其他與安全相關的功能集成在一起。我們已嘗試將這兩種工具都包含在我們的列表中。畢竟，文件完整性監控通常是包含其他功能的 IT 安全管理工作的一部分。那麼，為什麼不選擇集成工具。

1. SolarWinds安全事件管理器（免費試用）

許多網絡和系統管理員都熟悉SolarWinds。畢竟，該公司大約二十年以來一直在製造一些最好的工具。其旗艦產品SolarWinds Network Performance Monitor被認為是市場上最好的此類工具之一。為了讓事情變得更好，SolarWinds還發布了免費工具來解決一些特定的網絡管理任務。

雖然SolarWinds沒有製作專用的文件完整性監控工具，但其安全信息和事件管理 (SIEM) 工具SolarWinds Security Event Manager包含一個非常好的文件完整性監控模塊。該產品絕對是市場上最好的入門級 SIEM 系統之一。該工具幾乎具有人們對 SIEM 工具所期望的一切。這包括出色的日誌管理和關聯功能以及令人印象深刻的報告引擎，當然還有文件完整性監控。

免費試用：SolarWinds 安全事件管理器

官方下載鏈接：https://www.solarwinds.com/security-event-manager/registration

在文件完整性監控方面，SolarWinds 安全事件管理器可以顯示哪些用戶負責哪些文件更改。它還可以跟踪其他用戶活動，讓您創建各種警報和報告。該工具的主頁側邊欄可以顯示在變更管理標題下發生了多少變更事件。每當事情看起來可疑並且您想深入挖掘時，您都可以選擇按關鍵字過濾事件。

該工具還擁有出色的事件響應功能，沒有任何不足之處。例如，詳細的實時響應系統將對每個威脅做出積極的反應。由於它基於行為而不是簽名，因此您可以免受未知或未來威脅和零日攻擊。

除了令人印象深刻的功能集之外，SolarWinds 安全事件管理器的儀表板當然也值得討論。憑藉其簡單的設計，您可以輕鬆找到使用該工具的方法并快速識別異常。該工具的起價約為 4,500 美元，非常實惠。如果您想試用它並了解它在您的環境中是如何工作的，可以下載一個免費的全功能 30 天試用版。

官方下載鏈接：https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSEC，代表開源安全，是最著名的基於主機的開源入侵檢測系統之一。該產品歸Trend Micro所有，Trend Micro是 IT 安全領域的領先品牌之一，也是最好的病毒防護套件之一的製造商。如果該產品在此列表中，請放心，它還有一個非常不錯的文件完整性監控功能。

當安裝在 Linux 或 Mac OS 操作系統上時，該軟件主要關注日誌和配置文件。它創建重要文件的校驗和並定期驗證它們，在發生奇怪的事情時提醒您。它還將監視和警告獲取 root 訪問權限的任何異常嘗試。在 Windows 主機上，系統還會留意未經授權的註冊表修改，這可能是惡意活動的跡象。

在文件完整性監控方面，OSSEC具有稱為Syscheck的特定功能。默認情況下，該工具每六小時運行一次，並檢查密鑰文件校驗和的更改。該模塊旨在減少 CPU 使用率，使其成為需要佔用空間小的文件完整性管理解決方案的組織的潛在不錯選擇。

由於是基於主機的入侵檢測系統，OSSEC需要安裝在您要保護的每台計算機（或服務器）上。這是此類系統的主要缺點。但是，可以使用集中式控制台來整合來自每台受保護計算機的信息，以便於管理。該OSSEC控制台僅在 Linux 或 Mac OS 操作系統上運行。但是，可以使用代理來保護 Windows 主機。任何檢測都會觸發警報，該警報將顯示在中央控制台上，同時也會通過電子郵件發送通知。

3. Samhain 文件完整性

Samhain是一個免費的主機入侵檢測系統，提供文件完整性檢查和日誌文件監控/分析。此外，該產品還執行 rootkit 檢測、端口監控、流氓 SUID 可執行文件檢測和隱藏進程。該工具旨在通過集中日誌記錄和維護來監控具有各種操作系統的多個系統。但是，Samhain也可以用作單台計算機上的獨立應用程序。該工具可以在 POSIX 系統上運行，如Unix、Linux或Mac OS。它也可以在Cygwin下的Windows 上運行，儘管在該配置中只測試了監控代理而不是服務器。

在 Linux 主機上，S amhain可以利用 inotify 機制來監視文件系統事件。實時 這讓您可以立即收到有關更改的通知，並且無需頻繁掃描可能導致高 I/O 負載的文件系統。此外，還可以檢查各種校驗和，例如 TIGER192、SHA-256、SHA-1 或 MD5。還可以檢查文件大小、模式/權限、所有者、組、時間戳（創建/修改/訪問）、inode、硬鏈接數和符號鏈接的鏈接路徑。該工具甚至可以檢查更多“奇特”屬性，例如 SELinux 屬性、POSIX ACL（在支持它們的系統上）、Linux ext2 文件屬性（由 chattr 設置，例如不可變標誌）和 BSD 文件標誌。

Samhain的一項獨特功能是它的隱身模式，它允許它在不被最終攻擊者檢測到的情況下運行。入侵者經常殺死他們識別的檢測進程，使他們不被注意。該工具使用隱寫術技術向他人隱藏其進程。它還使用 PGP 密鑰保護其中央日誌文件和配置備份，以防止篡改。總的來說，這是一個非常完整的工具，提供的不僅僅是文件完整性監控。

4. Tripwire 文件完整性管理器

接下來是Tripwire的解決方案，這家公司在 IT 安全方面享有盛譽。而且，當涉及到文件完整性監控，Tripwire的文件完整性中號anager（FIM）必須通過提供從高風險的人淘汰低風險的變化，同時評估，優先考慮和協調檢測到變化的多種方式的噪音降低了獨特的能力。該工具通過自動促進大量一切照舊的更改降低了噪音，因此您有更多時間調查可能真正影響安全並引入風險的更改。絆線FIM使用代理持續實時捕獲完整的人員、內容和時間詳細信息。這有助於確保您檢測到所有更改，捕獲每個更改的詳細信息，並使用這些詳細信息來確定安全風險或不合規性。

Tripwire使您能夠將文件完整性管理器與許多安全控制集成：安全配置管理 (SCM)、日誌管理和 SIEM 工具。Tripwire FIM添加了組件，可以更直觀地以更好地保護數據的方式標記和管理來自這些控件的數據。例如，事件集成框架( EIF ) 將有價值的更改數據從文件完整性管理器添加到Tripwire 日誌中心或幾乎任何其他 SIEM。借助EIF和其他基本的Tripwire安全控制，您可以輕鬆有效地管理 IT 基礎架構的安全性。

Tripwire文件完整性管理器使用自動化來檢測所有更改並修復那些使配置脫離策略的更改。它可以與BMC Remedy、HP Service Center或Service Now等現有的變更票務系統集成， 從而實現快速審計。這也確保了可追溯性。此外，當一項或多項特定更改達到單獨一項更改不會導致的嚴重性閾值時，自動警報會觸髮用戶自定義響應。例如，伴隨著在計劃更改窗口之外完成的權限更改的輕微內容更改。

5. AFICK（另一個文件完整性檢查器）

接下來是開發人員 Eric Gerbier 的一個開源工具，稱為AFICK（另一個文件完整性檢查器）。儘管該工具聲稱提供了與 Tripwire 類似的功能，但它是一個粗略得多的產品，與傳統的開源軟件非常相似。該工具可以監視其監視的文件系統中的任何更改。它支持多種平台，例如 Linux（SUSE、Redhat、Debian 等）、Windows、HP Tru64 Unix、HP-UX 和 AIX。該軟件旨在快速和便攜，並且可以在任何支持 Perl 及其標準模塊的計算機上運行。

至於AFICK的功能，這裡是其主要功能的概述。該工具易於安裝，不需要任何編譯或安裝許多依賴項。它也是一種快速工具，部分原因在於其體積小。儘管它很小，但它會顯示新的、刪除的和修改過的文件以及任何懸空鏈接。它使用一個簡單的基於文本的配置文件，該文件支持異常和小丑，並使用與 Tripwire 或 Aide 非常相似的語法。如果您不想使用命令行工具，則可以使用基於 Tk 的圖形用戶界面和基於 webmin 的 Web 界面。

AFICK（另一個文件完整性檢查器）完全用 Perl 編寫，以實現可移植性和源代碼訪問。由於它是開源的（在 GNU 通用公共許可證下發布），您可以根據需要自由地向其添加功能。該工具使用 MD5 來滿足其校驗和需求，因為它很快，並且它內置於所有 Perl 發行版中，並且使用 dbm 代替明文數據庫。

6. AIDE（高級入侵檢測環境）

儘管名稱相當具有誤導性，但AIDE（高級入侵檢測環境）實際上是一個文件和目錄完整性檢查器。它的工作原理是根據從其配置文件中找到的正則表達式規則創建一個數據庫。一旦數據庫被初始化，它就會使用它來驗證文件的完整性。該工具使用多種消息摘要算法，可用於檢查文件的完整性。此外，可以檢查所有常見的文件屬性是否存在不一致。它還可以從舊版本或新版本讀取數據庫。

在功能方面，AIDE是完整的評分者。支持md5、sha1、rmd160、tiger、crc32、sha256、sha512、whirlpool等多種消息摘要算法。該工具可以檢查多個文件屬性，包括文件類型、權限、Inode、Uid、Gid、鏈接名稱、大小、塊計數、鏈接數、Mtime、Ctime 和 Atime。它還可以支持 Posix ACL、SELinux、XAttrs 和擴展文件系統屬性。為簡單起見，該工具使用純文本配置文件以及純文本數據庫。它最有趣的功能之一是它支持強大的正則表達式，允許您有選擇地包含或排除要監視的文件和目錄。僅此功能就使其成為非常通用且靈活的工具。

該產品自 1999 年以來一直在積極開發中，最新版本 (0.16.2) 只有幾個月的歷史。它在 GNU 通用公共許可證下可用，並且可以在大多數現代 Linux 變體上運行。

7. Qualys 文件完整性監控

來自安全巨頭Qualys 的Qualys 文件完整性監控是一種“雲解決方案，用於檢測和識別由正常和惡意事件導致的關鍵變化、事件和風險。” 它帶有開箱即用的配置文件，這些配置文件基於行業最佳實踐和供應商推薦的通用合規性和審計要求指南，包括 PCI DSS。

Qualys 文件完整性監控使用反病毒技術中使用的類似方法，實時有效地檢測更改。可以為整個目錄結構或在文件級別創建更改通知。該工具使用現有的操作系​​統內核信號來識別訪問的文件，而不是依賴計算密集型方法。該產品可以檢測文件或目錄的創建或刪除、文件或目錄的重命名、文件屬性的更改、文件或目錄安全設置（例如權限、所有權、繼承和審計）的更改或對存儲在計算機上的文件數據的更改。盤。

它是一個多層次的產品。該Qualys公司雲代理連續監控文件，並在您的監督配置文件中指定的目錄和它抓住關鍵數據，以幫助確定哪些與環境的詳細信息，如哪個用戶和進程參與的變化而變化一起。然後將數據發送到Qualys 雲平台進行分析和報告。這種方法的一個優點是，無論系統是在本地、雲端還是遠程，它的工作方式都是一樣的。

文件完整性監控可以在您現有的Qualys A代理上輕鬆激活，並在對端點影響最小的情況下在本地開始監控更改。該Qualys公司雲平台可讓您輕鬆擴展到最大的環境。通過在本地有效監控文件更改並將數據發送到Qualys 雲平台，所有繁重的分析和關聯工作都在那裡發生，從而最大限度地減少對受監控端點的性能影響。作為Qualys的雲代理，它是自我更新和自我修復，保持自身最新的，無需重新啟動。