Quali sono i file più comuni da verificare con il software di monitoraggio dell'integrità dei file?

6

Ho una suite per il monitoraggio dell'integrità dei file e in essa devo selezionare specifici file e cartelle da monitorare. Ci sono alcuni servizi ovvi che voglio monitorare come il nostro web-server.

Esiste un elenco di file OS importanti (windows / linux) che devono essere monitorati (secondo le migliori pratiche)? Conosco Linux, ma non con Windows, quindi non riesco a trovare i file binari e / oi file di configurazione da monitorare come best practice.

    
posta george_h 17.07.2012 - 07:29
fonte

5 risposte

4

Dovresti monitorare (quasi) tutti i file.

Supponendo che questo sistema sia solo un database hash, allora ci sono alcuni file da saltare:

  • tutto in / proc (ci sono molte cose utili qui per i cacciatori di kit di root)
  • file di log (ci sono strumenti che faranno analisi euristiche di questi file)
  • file che contengono file system (questo include i file system di loopback e i file di database - ma probabilmente si vorrà controllare i "file" all'interno del file).
  • scambia spazio

(il bit difficile è l'impostazione di un processo per il controllo corretto delle modifiche)

    
risposta data 17.07.2012 - 10:52
fonte
2

Non sei sicuro del sistema di monitoraggio dell'integrità dei file che stai utilizzando, ma la maggior parte dei sistemi di monitoraggio dell'integrità dei file commerciali come Verisys e Tripwire può essere configurato per "automaticamente" monitorare i file pertinenti.

Ad esempio, dici che stai utilizzando Windows Server 2008 e Microsoft SQL Server 2008, quindi monitorano i file e le voci di registro applicabili.

    
risposta data 28.05.2013 - 14:33
fonte
1

Per la piattaforma Windows, microsoft fornisce l'utilità sfc . Controllerà l'integrità di tutti i file di sistema o selezionati e li riparerà se necessario. Puoi controllarne le opzioni digitando il prompt dei comandi: sfc /?

    
risposta data 28.07.2012 - 23:37
fonte
0

C'è un monitor di integrità del file open source chiamato Mugsy fornito con un elenco di importanti directory da monitorare per Linux:

- /boot
- /lib
- /lib64
- /sys
- /bin
- /sbin
- /usr/bin
- /usr/sbin
- /usr/local/bin
- /usr/local/etc
- /usr/local/sbin
- /etc

Sono lo sviluppatore di Mugsy, una spina così spudorata.

Sono d'accordo sul fatto che i file tutti dovrebbero essere monitorati, ma può essere difficile da gestire, quindi dovresti almeno iniziare il monitoraggio da qualche parte. Spero che possiamo collaborare a un elenco standard di cosa monitorare per Linux e Windows o un elenco di cosa escludere, ad es. file temporanei che cambiano spesso.

Inoltre, Mugsy è specifico per Linux, ma potrebbe essere creato per Windows.

    
risposta data 09.07.2014 - 17:23
fonte
-3

Parlando come un venditore, ci viene sempre chiesto: ovviamente vuoi tenere traccia del maggior numero di filesystem possibile per ottenere la migliore visibilità delle modifiche, ma più tieni traccia, più cambia il rumore è probabile che tu abbia Collaboriamo con il Centro per la sicurezza di Internet e puoi utilizzare qualsiasi guida di configurazione sicura Benchmark per stabilire il modo migliore per configurare il tuo host linux o windows per la massima protezione. Tutti questi file / impostazioni di registro dovrebbero essere tutti tracciati per le modifiche.

Poi ci sono i file di programma e di sistema. Questo diventa più difficile perché ci sono molti file che cambieranno regolarmente durante il normale funzionamento, ad esempio i file di registro. Quindi hai davvero bisogno di capire bene come si comportano le tue applicazioni in termini di attività del filesystem.

L'elenco dei file Linux qui sopra è un buon punto di partenza e sul nostro sito web c'è un elenco più lungo di percorsi / file, sebbene si tenga presente che il monitoraggio dell'output dei comandi diventa più importante su piattaforme come Ubuntu (password policy, per esempio).

    
risposta data 06.01.2017 - 15:04
fonte

Leggi altre domande sui tag