FIM建议书
文件完整性监控(FIM)允许您在运行agent 2.5.3.8版或更高版本的Windows系统上,出于法规遵从性原因,审核对关键文件和文件夹的更改。启用FIM时,您只能监视一组特定的扩展,以防止Insight Agent和InsightIDR上的数据收集过载。应用程序或操作系统经常更改的文件(如日志文件)非常“嘈杂”,InsightIDR很难识别攻击,因为它们会产生过多的事件。必威体育app登录
InsightIdr允许您监控以下扩展:
- 。蝙蝠
- .cfg.
- .conf
- .config
- .dll.
- .exe
- .INI
- .sys
InsightIDR将“忽略”您为监视配置的任何其他文件,这些文件不具有允许的扩展名之一。但是,如果您确定组织需要某些文件扩展名,则可以请求允许它们。要请求扩展允许列表,联系支持。
FIM关闭警告
如果您通过FIM发送了太多数据,Rapid7将与您联系,以达成友好的解决方案。如果您没有响应,Rapid7保留关闭发送至Insight平台的FIM传输的权利。dota2必威联赛
职能指令手册注意事项
当您监视更多文件和文件夹时,CPU使用率按比例增加。
不要监视所有可用的文件事件。回想一下,InsightIDR FIM仅监控以下事件,并将忽略InsightAgent的所有其他事件:必威体育app登录
- 创建文件/写入数据
- 创建文件夹/追加数据
- 删除子文件夹和文件
- 删除
监测建议
职能指令手册旨在仅跟踪和审计关键系统上关键业务文件的文件修改。Rapid7建议不要从C:\递归地进行监视。
Rapid7建议监视Windows Microsoft关键系统文件,包括:
- C:\ autoexec.bat
- C:\ boot.ini
- C:\ config.sys
- C:\ Program Files \ Microsoft Security Client \ MSSeces.exe
- C:\ Windows \ Explorer.exe
- C:\Windows\regedit.exe
- C:\Windows\system.ini
- C:\Windows\System32\userinit.exe
- C:\ Windows \ win.ini
这页对你有帮助吗?