文件完整性监视
文件完整性监视(FIM)允许您在运行agent 2.5.3.8版或更高版本的Windows系统上,出于法规遵从性原因,审核对关键文件和文件夹的更改。
FIM仅在编辑、移动或删除文件时跟踪文件事件日志的特定扩展名。看见职能指令手册建议对于特定的文件扩展名,您可以监视。
FIM不跟踪读取或权限更改,也不监控符号链接或硬链接的创建、修改或删除活动。
启用FIM时,InsightIDR将与Insight代理进行通信,以直接将用户归因于文件修改活动。您可以根据必威体育app登录某些文件日志事件创建警报,以便在某个用户修改关键文件或文件夹时通知您。
利用职能指令手册:
要求
文件完整性监视仅在运行代理版本2.5.3.8或更高版本的Windows系统上可用。
FIM配置说明仅使用以下Windows版本创建:
- Windows Server 2016
- 视窗10
- Windows Server 2012 R2
- Windows Server 2012
有关所有其他Windows版本的安全审核说明,请参阅Windows帮助。
在InsightIDR中启用
在启用资产向InsightIDR发送日志事件之前,必须启用FIM功能。
要启用职能指令手册:
- 从InsightIDR左侧菜单中,单击设置.
- 选择必威体育app登录.
- 在文件完整性监视选项卡,将切换切换到在…上.
配置文件完整性监视
FIM要求您对要监视的文件夹和文件的访问权限进行某些更改。
这些说明要求在Windows计算机上具有管理员权限。
要为Windows配置FIM,请完成以下操作,以便Windows发送审核对象文件修改事件:
不确定要监视哪些文件或文件夹?
退房职能指令手册建议.
修改本地主机上的组策略对象
您可以在域上设置组策略对象(GPO),也可以在Active Directory容器中将其设置为其中所有Windows计算机的组织单元(OU)。在本例中,说明将在单个windows服务器上配置GPO。
要修改GPO,请执行以下操作:
- 在计算机上的“开始”菜单中,搜索并打开名为“gpedit.msc”的组策略编辑器
- 在“本地组策略编辑器”中,选择计算机配置>Windows设置>安全设置>高级审核策略配置>对象访问。
- 在右窗格中,双击审计文件系统。
- 在“审核文件系统属性”对话框中,仅检查成功复选框。
- 点击好啊
您的本地组策略配置现在已完成。
修改组织单元(OU)上的GPO
在本例中,说明将在OU上配置GPO。
要修改OU上的GPO,请执行以下操作:
- 在开始菜单中,打开“管理工具”,然后双击组策略管理。
- 在“组策略管理”对话框中,选择组策略管理>林>域>[您的域名]>[您的OU]。
- 右键单击名为[您的OU]. 单击菜单选项在此域中创建GPO,并将其链接到此处。
- 在新邮政总局对话框中,输入[您的GPO名称].
- 点击好啊.
- 在“组策略管理”对话框中,右键单击新创建的名为[您的GPO名称].
- 选择菜单选项编辑.
- 在组策略管理编辑器对话框中,选择计算机配置>策略>Windows设置>高级审核策略配置>审核策略>对象访问.
- 在右窗格中,双击审计文件系统。
- 在“审核文件系统属性”对话框中,仅检查成功复选框。
- 点击好啊
启用安全审核
配置GPO和OU后,选择要监视哪些文件和文件夹以查看文件修改事件。回顾职能指令手册建议有关应监视哪些文件和文件夹的信息。
要启用文件修改事件的文件监视,请执行以下操作:
- 打开Windows资源管理器并浏览到要监视的文件或文件夹的位置。
- 右键单击文件或文件夹,然后选择性质在列表的底部。
- 在“属性”对话框中,选择安全标签。
- 点击先进的按钮此时会出现“高级安全设置”对话框。
- 选择审计标签。
- 点击添加按钮
- 在“审核条目”对话框中,单击选择一个负责人链接此时会出现“选择用户、计算机、服务帐户或组”对话框。
- 在“输入对象名称”字段中输入“所有人”。
- 点击核对姓名按钮当姓名检查成功时,“每个人”一词会加下划线。
- 点击好啊按钮关闭对话框。
- 在“审核条目”对话框中,单击显示高级权限链接
- 选中以下复选框:
- 创建文件/写入数据
- 创建文件夹/追加数据
- 删除子文件夹和文件
- 删去
- 点击好啊按钮关闭“审核条目”对话框。
- 点击好啊“WHICH”对话框中的按钮。当审核配置应用于目录中的所有文件时,将显示一个进度条。
您的安全审核现在已启用。
搜索FIM事件
看见FIM事件的搜索日志了解更多信息。