文件完整性监视

文件完整性监视(FIM)允许您在运行agent 2.5.3.8版或更高版本的Windows系统上,出于法规遵从性原因,审核对关键文件和文件夹的更改。

FIM仅在编辑、移动或删除文件时跟踪文件事件日志的特定扩展名。看见职能指令手册建议对于特定的文件扩展名,您可以监视。

FIM不跟踪读取或权限更改,也不监控符号链接或硬链接的创建、修改或删除活动。

启用FIM时,InsightIDR将与Insight代理进行通信,以直接将用户归因于文件修改活动。您可以根据必威体育app登录某些文件日志事件创建警报,以便在某个用户修改关键文件或文件夹时通知您。

利用职能指令手册:

要求

文件完整性监视仅在运行代理版本2.5.3.8或更高版本的Windows系统上可用。

FIM配置说明仅使用以下Windows版本创建:

  • Windows Server 2016
  • 视窗10
  • Windows Server 2012 R2
  • Windows Server 2012

有关所有其他Windows版本的安全审核说明,请参阅Windows帮助。

在InsightIDR中启用

在启用资产向InsightIDR发送日志事件之前,必须启用FIM功能。

要启用职能指令手册:

  1. 从InsightIDR左侧菜单中,单击设置.
  2. 选择必威体育app登录.
  3. 文件完整性监视选项卡,将切换切换到在…上.

文件完整性监视

配置文件完整性监视

FIM要求您对要监视的文件夹和文件的访问权限进行某些更改。

这些说明要求在Windows计算机上具有管理员权限。

要为Windows配置FIM,请完成以下操作,以便Windows发送审核对象文件修改事件:

  1. 修改本地主机上的组策略对象(GPO)
  2. 修改组织单元(OU)上的GPO
  3. 对需要监视的文件夹和文件启用安全审核

不确定要监视哪些文件或文件夹?

退房职能指令手册建议.

修改本地主机上的组策略对象

您可以在域上设置组策略对象(GPO),也可以在Active Directory容器中将其设置为其中所有Windows计算机的组织单元(OU)。在本例中,说明将在单个windows服务器上配置GPO。

要修改GPO,请执行以下操作:

  1. 在计算机上的“开始”菜单中,搜索并打开名为“gpedit.msc”的组策略编辑器
  1. 在“本地组策略编辑器”中,选择计算机配置>Windows设置>安全设置>高级审核策略配置>对象访问。
  2. 在右窗格中,双击审计文件系统。
  1. 在“审核文件系统属性”对话框中,仅检查成功复选框。
  2. 点击好啊

您的本地组策略配置现在已完成。

修改组织单元(OU)上的GPO

在本例中,说明将在OU上配置GPO。

要修改OU上的GPO,请执行以下操作:

  1. 在开始菜单中,打开“管理工具”,然后双击组策略管理。
  1. 在“组策略管理”对话框中,选择组策略管理>林>域>[您的域名]>[您的OU]。
  2. 右键单击名为[您的OU]. 单击菜单选项在此域中创建GPO,并将其链接到此处。
  1. 新邮政总局对话框中,输入[您的GPO名称].
  2. 点击好啊.
  1. 在“组策略管理”对话框中,右键单击新创建的名为[您的GPO名称].
  1. 选择菜单选项编辑.
  2. 组策略管理编辑器对话框中,选择计算机配置>策略>Windows设置>高级审核策略配置>审核策略>对象访问.
  3. 在右窗格中,双击审计文件系统。
  1. 在“审核文件系统属性”对话框中,仅检查成功复选框。
  2. 点击好啊

启用安全审核

配置GPO和OU后,选择要监视哪些文件和文件夹以查看文件修改事件。回顾职能指令手册建议有关应监视哪些文件和文件夹的信息。

要启用文件修改事件的文件监视,请执行以下操作:

  1. 打开Windows资源管理器并浏览到要监视的文件或文件夹的位置。
  2. 右键单击文件或文件夹,然后选择性质在列表的底部。
  1. 在“属性”对话框中,选择安全标签。
  2. 点击先进的按钮此时会出现“高级安全设置”对话框。
  1. 选择审计标签。
  2. 点击添加按钮
  1. 在“审核条目”对话框中,单击选择一个负责人链接此时会出现“选择用户、计算机、服务帐户或组”对话框。
  1. 在“输入对象名称”字段中输入“所有人”。
  2. 点击核对姓名按钮当姓名检查成功时,“每个人”一词会加下划线。
  1. 点击好啊按钮关闭对话框。
  2. 在“审核条目”对话框中,单击显示高级权限链接
  3. 选中以下复选框:
    • 创建文件/写入数据
    • 创建文件夹/追加数据
    • 删除子文件夹和文件
    • 删去
  1. 点击好啊按钮关闭“审核条目”对话框。
  1. 点击好啊“WHICH”对话框中的按钮。当审核配置应用于目录中的所有文件时,将显示一个进度条。

您的安全审核现在已启用。

搜索FIM事件

看见FIM事件的搜索日志了解更多信息。