Wazuh 功能 - 文件完整性监控

Wazuh的文件完整性监控(FIM)系统监视所选文件，在这些文件被修改时触发警报。负责此任务的组件称为syscheck。此组件存储已知的好文件或Windows注册表项的加密校验和和其他属性，并定期将其与系统使用的当前文件进行比较，以查看更改。

一、工作原理

1、Wazuh代理扫描系统，并将被监视文件的校验和和属性以及Windows注册表项发送给Wazuh管理器。以下选项是可配置的:

（1）频率:默认情况下，syscheck每12小时运行一次。

（2）实时监控:Wazuh支持在运行Windows或Linux的服务器上进行实时文件完整性监控(Solaris不支持Inotify，因此该系统不可用)。请注意，实时选项只能用于目录，而不能用于单个文件。

（3）Whodata:这个特性工作起来像实时的，另外还提供了关于谁触发了事件的信息。

2、Wazuh管理器存储被监视文件的校验和和属性，并通过比较新值和旧值来查找修改。

Wazuh管理器存储被监视文件的校验和和属性，并查找每当在监控的文件和/或注册表项中检测到修改时，都会生成警报。

可以使用ignore configuration选项或通过创建列出FIM警报中排除的文件的规则来解决误报问题。

警报示例，由FIM生成: