0
0
Lập trình
Sơn Tùng Lê
Sơn Tùng Lê103931498422911686980

Bảo vệ Hệ thống Tập tin với Giám sát Tính toàn vẹn

Đăng vào 5 ngày trước

• 5 phút đọc

Giám sát Tính toàn vẹn Tập tin (FIM) với Splunk

Giới thiệu

Sử dụng Giám sát Tính toàn vẹn Tập tin (FIM) để bảo vệ hệ thống tập tin là mục tiêu chính trong ngày thứ tám. Để phát hiện các thay đổi trái phép đối với các tệp và thư mục quan trọng, tôi đã tích hợp khả năng FIM của Splunk. Bài thực hành này nhấn mạnh tầm quan trọng của việc giám sát liên tục trong việc duy trì tính toàn vẹn của hệ thống và cải thiện khả năng ứng phó với các sự cố.

Mục tiêu

Thiết lập một biện pháp kiểm soát cơ bản để phát hiện những thay đổi trái phép bằng cách cấu hình Splunk để giám sát các tệp và thư mục quan trọng.

Giám sát Tính toàn vẹn Tập tin (FIM) là gì?

Giám sát Tính toàn vẹn Tập tin (FIM) là một quy trình bảo mật theo dõi và phân tích các thay đổi đối với các tệp và thư mục quan trọng để đảm bảo tính toàn vẹn của chúng. Nó phát hiện các thay đổi, bổ sung hoặc xóa trái phép, giúp tổ chức phát hiện các vi phạm bảo mật hoặc các sự cố hệ thống.

Tại sao FIM lại quan trọng?

  • Phát hiện phần mềm độc hại: Ransomware mã hóa tệp? Virus thay thế một DLL hệ thống? FIM sẽ phát hiện nó.
  • Xác định các vi phạm: Kẻ tấn công thường để lại cửa hậu hoặc thay đổi các tệp cấu hình để duy trì quyền truy cập.
  • Đáp ứng yêu cầu tuân thủ: Các tiêu chuẩn như PCI DSS, SOX và HIPAA yêu cầu FIM trên các tài sản quan trọng.

FIM giống như một camera an ninh ghi lại tất cả những gì xảy ra trong một phòng an toàn, bao gồm cả những gì mọi người chạm vào.

Truy cập Cấu hình

Nói với Splunk Điều gì cần Giám sát

Bạn có thể đăng nhập vào phiên bản Splunk Enterprise của mình.
Đi tới Cài đặt > Dữ liệu đầu vào.

Nhấp vào Tệp và Thư mục.
Đây là nơi bạn xác định những gì cần giám sát. Bạn có thể cấu hình điều này trên máy chủ Splunk hoặc, mạnh mẽ hơn, trên một Universal Forwarder cụ thể.

Cấu hình Giám sát

Chọn bộ chuyển tiếp.

Giám sát các tệp

Đường dẫn tệp mà tôi đang giám sát như sau:

Cấu hình Giám sát: Cài đặt Giám sát trên một Tệp Quan trọng

Nhấp vào Mới > Thêm mới bên cạnh "Tệp & Thư mục".

Chỉ định Đường dẫn để Giám sát: C:\Users\Administrator\Desktop\important_file.txt

Đặt loại nguồn. Thực hành tốt nhất là đặt giá trị cụ thể, chẳng hạn như fim: monitor, để dễ dàng tìm kiếm sau này.

Chọn Máy chủ. Chọn máy chủ nơi Universal Forwarder được cài đặt và có quyền truy cập vào tệp này.

Nhấp vào Xem lại > Gửi.

Tạo và Xem Dữ liệu

Kiểm tra Cảm biến Kỹ thuật số của Bạn

Cách Thử nghiệm: Thay đổi tệp bạn đang giám sát!

Bạn có thể mở tệp trong Notepad?

Thêm một dòng văn bản mới hoặc thay đổi một ký tự duy nhất.

Bạn có thể lưu tệp không?

Tìm kiếm nguồn tệp

Vì tôi đã thiết lập để giám sát mọi tệp trên desktop, nhật ký sự kiện sẽ ghi lại tất cả các tệp trong thư mục này.
Tại đây, trên prompt tìm kiếm, tôi muốn cụ thể về một tệp cụ thể có tên là testfile trong thư mục desktop.

Cảnh báo sự kiện thay đổi tệp

Tìm kiếm để Xem Thay đổi:

sourcetype="fim: monitor" host="YOUR_HOSTNAME"

Dưới đây là các sự kiện xuất hiện cho thấy Splunk phát hiện sự thay đổi.

Tìm kiếm Dữ liệu FIM
Tìm kiếm Kim trong Đống Rơm

  • Tìm kiếm Cơ bản: Tìm tất cả các thay đổi đối với một đường dẫn cụ thể.

sourcetype="fim:monitor" action="modify" path="*\Desktop\*"

  • Tìm kiếm Nâng cao: Tìm kiếm hoạt động đáng ngờ, như thay đổi các thư mục hệ thống bởi người dùng không phải là hệ thống.

sourcetype="fim:monitor" (path="*\Windows\*" OR path="*\Program Files\*")
(user!="SYSTEM" AND user!="LOCAL SERVICE")
| stats count by path, action, user

Từ Giám sát đến Cảnh báo

Tự động hóa Phản ứng

Cách Tạo Cảnh báo FIM:

Lưu một trong những tìm kiếm FIM của bạn (ví dụ: "Tìm kiếm Nâng cao" từ slide trước).

Nhấp vào Lưu dưới dạng > Cảnh báo.

Lịch trình: Chạy mỗi phút hoặc theo thời gian thực.

Kích hoạt: Cảnh báo khi số lượng kết quả lớn hơn 0.

Hành động: Gửi email đến nhóm bảo mật thông báo: "Đã phát hiện thay đổi tệp quan trọng trên $host$ bởi $user$".

Phản ánh Ngày 8: Phòng thủ Chủ động

Mục tiêu Đã Đạt được:

Đã cấu hình thành công Splunk để giám sát các thay đổi tệp và thử nghiệm phát hiện.

FIM chuyển bạn từ tư thế bảo mật phản ứng (điều tra sau sự cố) sang một tư thế chủ động hơn (được cảnh báo khi có sự thay đổi xảy ra). Hôm nay, tôi đã có thể giám sát một tệp đơn giản trên desktop, điều này minh họa cùng một nguyên tắc áp dụng cho các hệ thống quan trọng nhất trong một doanh nghiệp.

Thực tiễn Tốt nhất

  • Thường xuyên kiểm tra và cập nhật: Đảm bảo rằng các cấu hình FIM của bạn được cập nhật và kiểm tra định kỳ để phát hiện các vấn đề kịp thời.
  • Đào tạo nhân viên: Đảm bảo rằng các thành viên trong nhóm bảo mật hiểu cách sử dụng và phản ứng với các cảnh báo FIM.

Cạm bẫy Thường gặp

  • Thiếu thông tin: Đừng quên cấu hình giám sát cho tất cả các tệp quan trọng.
  • Phản ứng chậm: Hãy chắc chắn rằng bạn có quy trình phản ứng nhanh để xử lý các cảnh báo FIM.

Mẹo Hiệu suất

  • Tối ưu hóa truy vấn tìm kiếm: Sử dụng các chỉ mục và loại nguồn hợp lý để cải thiện tốc độ tìm kiếm và giảm tải cho hệ thống.

Giải quyết Vấn đề

  • Không nhận được cảnh báo: Kiểm tra lại cấu hình và đảm bảo rằng Universal Forwarder đang hoạt động bình thường.

Câu hỏi Thường gặp

  • FIM có cần thiết cho mọi tổ chức không?
    Có, đặc biệt cho các tổ chức làm việc với dữ liệu nhạy cảm.
  • Có cách nào để tự động hóa phản ứng không?
    Có, bạn có thể cấu hình cảnh báo để gửi email hoặc kích hoạt quy trình tự động.

Kết luận

Việc triển khai Giám sát Tính toàn vẹn Tập tin là một bước quan trọng trong việc bảo vệ hệ thống của bạn khỏi các mối đe dọa tiềm ẩn. Hãy bắt đầu áp dụng FIM ngay hôm nay để đảm bảo rằng mọi thay đổi đối với các tệp quan trọng đều được theo dõi và báo cáo kịp thời.

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào