Wazuh 功能 - 文件完整性监控
最编程
2024-04-29 13:19:37
...
Wazuh的文件完整性监控(FIM)系统监视所选文件,在这些文件被修改时触发警报。负责此任务的组件称为syscheck。此组件存储已知的好文件或Windows注册表项的加密校验和和其他属性,并定期将其与系统使用的当前文件进行比较,以查看更改。
一、工作原理
1、Wazuh代理扫描系统,并将被监视文件的校验和和属性以及Windows注册表项发送给Wazuh管理器。以下选项是可配置的:
(1)频率:默认情况下,syscheck每12小时运行一次。
(2)实时监控:Wazuh支持在运行Windows或Linux的服务器上进行实时文件完整性监控(Solaris不支持Inotify,因此该系统不可用)。请注意,实时选项只能用于目录,而不能用于单个文件。
(3)Whodata:这个特性工作起来像实时的,另外还提供了关于谁触发了事件的信息。
2、Wazuh管理器存储被监视文件的校验和和属性,并通过比较新值和旧值来查找修改。
Wazuh管理器存储被监视文件的校验和和属性,并查找每当在监控的文件和/或注册表项中检测到修改时,都会生成警报。
可以使用ignore configuration选项或通过创建列出FIM警报中排除的文件的规则来解决误报问题。
警报示例,由FIM生成:
下一篇: iOS 货币缩写和货币符号换算