Skip to main content

Dosya Bütünlük Monitörleme (FIM)

Dosya Bütünlüğünün İzlenmesi


Dosya Bütünlüğü İzleme (FIM), dosya ekleme, değiştirme veya silme olayları olduğunda algılamak ve uyarmak için dosyaların ve dizinlerin bütünlüğünü izlemeyi içerir. FIM, bu varlıkların bütünlüğünü düzenli olarak tarayarak ve doğrulayarak hassas dosyalar ve veriler için önemli bir koruma katmanı sağlar. Bir siber saldırının göstergesi olabilecek dosya değişikliklerini belirler ve gerekirse daha fazla araştırma ve düzeltme için uyarılar oluşturur.

Wazuh açık kaynaklı Dosya Bütünlüğü İzleme modülü, dosya oluşturma, değiştirme ve silme hakkında kapsamlı bilgi edinmek için izlenen dizinler veya dosyalar içinde gerçekleştirilen etkinlikleri izler. Bir dosya değiştirildiğinde, Wazuh onun sağlama toplamını önceden hesaplanmış bir temel çizgiyle karşılaştırır ve bir uyumsuzluk bulursa bir uyarı tetikler.

Açık kaynaklı FIM modülü, izlenen dosyaların hassasiyet düzeyine bağlı olarak gerçek zamanlı izleme ve planlı taramalar gerçekleştirir.

Dosya Bütünlüğü İzleme tarama sonuçlarını görüntüleme

Wazuh panosunda, izlenen uç noktalardan tetiklenen tüm dosya bütünlüğü olaylarının raporlandığı özel bir Dosya Bütünlüğü İzleme modülü bulabilirsiniz . Bu, izlenen dizinlerin durumu ve güvenlik duruşu üzerindeki potansiyel etkileri hakkında değerli bilgiler sağladığı için görünürlüğü artırır. Wazuh FIM panosunda FIM analiz sonuçlarını görüntülemek için üç farklı bölüm bulunur; Envanter, Pano ve Olaylar .

  1. Envanter bölümü , FIM modülünün dizinlediği tüm dosyaların bir listesini görüntüler. Her dosyanın dosya adı, son değişiklik tarihi, kullanıcı, kullanıcı kimliği, grup ve dosya boyutu gibi giriş bilgileri vardır.

fim-module-inventory1.png

2. Pano bölümü , tüm izlenen uç noktalar için FIM modülü tarafından tetiklenen olayların genel görünümünü gösterir. Ayrıca, seçili izlenen uç nokta için olayları gösterecek şekilde düzenleyebilirsiniz.

fim-dashboard1.png

3.  Olaylar bölümü , FIM modülü tarafından tetiklenen uyarıları gösterir. Aracı adı, izlenen dosyanın dosya yolu, FIM olayının türü, uyarının açıklaması ve her uyarının kural düzeyi gibi ayrıntıları görüntüler.

fim-alerts1.png

Aşağıda Wazuh FIM modülünün ortamınızda izleme yapmanıza yardımcı olacağı yaygın kullanım durumları listelenmiştir.

Dosya bütünlüğünün izlenmesi

Yapılandırma dosyalarında ve dosya özniteliklerinde yapılan değişiklikler, bir BT altyapısındaki uç noktalarda sık görülen olaylardır. Ancak doğrulanmazsa, uç noktaların veya bunlarda çalışan uygulamaların davranışını etkileyebilecek yetkisiz ve kasıtsız değişiklikler olabilir. Wazuh FIM modülü, gerçek zamanlı olarak dosya değişikliklerini tespit etmek için belirli dosyalar ve dizinler üzerinde periyodik taramalar çalıştırır. Mevcut durumun bir taban çizgisini oluşturmak için belirlenen dosyaları tarar. Toplam kontrol değerlerini ve öznitelik değerlerini taban çizgiyle karşılaştırarak dosya değişikliklerini kontrol eder ve tutarsızlıklar bulunursa uyarılar üretir.

Wazuh FIM modülü, varlıkların etkili bir şekilde izlenmesini sağlayan çeşitli yapılandırma seçeneklerini destekler:

  • Gerçek zamanlı izleme : FIM modülü,realtimebelirtilen dizinlerin sürekli izlenmesini sağlayan bir öznitelik sağlar. Bu özellik özellikle kritik dizinleri izlemek ve değişiklikleri meydana geldikten hemen sonra izlemek için kullanışlıdır. Wazuh, dosya değişiklikleri meydana gelirse gerçek zamanlı olarak raporlanacak izlenen uç noktalardaki dizinleri veya dosyaları belirtmenize olanak tanır.

  • Zamanlanmış izleme :frequencyWazuh FIM modülündeki seçenek, kullanıcıların izlenen uç noktalarınızda gerçekleştirilen her FIM taramasının zamanlamasını özelleştirmesine olanak tanır. FIM modülü için varsayılan tarama aralığı 12 saattir (43200 saniye) ve her uç noktada özelleştirilebilir. Alternatif olarak, taramalar scan_time ve scan_day seçenekleri kullanılarak zamanlanabilir . Bu seçenekler, kullanıcıların mesai saatleri dışında veya tatillerde FIM taramaları ayarlamasına yardımcı olur.

  • Kim-veri izleme : Wazuh, kim-veri işlevselliğini kullanarak dosya değişikliklerine ilişkin gelişmiş içgörüler yakalar. Bu işlevsellik, algılanan dosya değişiklikleri hakkında önemli bilgileri belirlemek için Linux Denetim alt sistemi ve Microsoft Windows SACL gibi denetim araçlarını kullanır. Kim-veri izleme işlevselliği, FIM modülünün değişiklik olayının ne zaman gerçekleştiği, değişikliği kimin veya neyin yaptığı ve hangi içeriğin değiştirildiği hakkında bilgi edinmesini sağlar. Bu, hesap verebilirliği sürdürmede ve izlenen dosyalarda veya dizinlerde yapılan değişikliklerin onaylanmış süreçler kullanılarak yetkilendirilip yetkilendirilmediğini ve gerçekleştirilip gerçekleştirilmediğini doğrulamada faydalıdır.

Aşağıda, Windows uç noktasında izlenen bir dosya değiştirildiğinde oluşturulan bir uyarının örneği gösterilmektedir.

fim-modified-file-alert1.png

Uyarı alanlarında, who-data meta verisi, kullanıcının wazuhkelimeyi Hellodosyaya işlem audit_docu.txtkullanılarak eklediğini gösterir Notepad.exe.

fim-modified-file-alert-details1.png

  • Dosya değerlerindeki değişiklikleri raporlama : FIM modülü,report_changesbir metin dosyasında değiştirilen tam içeriği kaydeden ve Wazuh sunucusuna bildiren bir öznitelik sağlar. Öznitelik, Wazuh aracısının izlenen dosyaların kopyalarını daha fazla inceleme için her uç noktadaki özel bir konuma yapmasını sağlar. Bu izleme seçeneği, kullanıcılar izlenen dizinlerdeki dosya değişiklikleri bilinen kötü amaçlı etkinliklerin davranışıyla eşleştiğinde belirli yanıtlar başlatmak istediklerinde yararlıdır. Örneğin, aşağıdaki uyarı, Wazuhwebshell-script.phpizlenen bir dizinde bir web kabuğu komut dosyası dosyasının oluşturulduğunu algıladığında bunu gösterir.

web-shell-scripting-alert1.png

  • Dosya özniteliklerini kaydetme : Kullanıcılar, izlenen bir dosyanın belirli özniteliklerini kaydetmek üzere FIM modülünü yapılandırabilir. Wazuh, kullanıcıların FIM modülünün kaydedeceği veya yoksayacağı dosya meta verilerini belirtmek için kullanabileceği çeşitli dosya özniteliklerini destekler. Örneğin, bu izleme seçeneği, kullanıcılar yalnızca bir yapılandırma dosyasının SHA-256 karma değerini kaydetmek ve diğer karma türlerini hariç tutmak istediklerinde yararlı olacaktır.

Kötü amaçlı yazılımları tespit etme ve bunlara yanıt verme

Wazuh FIM modülü, kapsamlı bir güvenlik izleme ortamı oluşturmak için diğer Wazuh yetenekleri ve üçüncü taraf tehdit istihbarat çözümleriyle entegre olur. Bu, kötü amaçlı yazılım algılama ve yanıt yeteneklerini geliştirmek ve siber tehditlere karşı sağlam bir savunma sağlamak için zorunludur.

Wazuh FIM modülü, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere çeşitli entegrasyonları destekler:

  • Dosya bütünlüğü izleme ve YARA : Wazuh FIM modülü ve YARA aracı birleştirilerek, şüpheli dosya eklemeleri veya değişiklikleri belirlendiğinde kötü amaçlı yazılımları tespit etmek mümkündür. YARA kural dosyaları, izlenen uç noktalara indirilen kötü amaçlı yazılım göstergelerinin örneklerini içerir. FIM modülü izlenen dosya veya dizinde bir değişiklik tespit ettiğinde, bunun kötü amaçlı yazılım olup olmadığını belirlemek için bir betik kullanarak bir YARA taraması yürütür. YARA kuralı bir dosyayla eşleşme bulursa, tarama sonuçlarını kod çözme ve uyarı için Wazuh sunucusuna gönderir. Bu, Wazuh sunucusunda yapılandırılan özel kural ve kod çözücü yapılandırmalarına göre raporlanır. Wazuh FIM modülünün YARA ile nasıl entegre edileceği hakkında daha fazla bilgi için bu belgelere bakın .

  • Dosya bütünlüğü izleme ve VirusTotal : Wazuh Integrator modülü, VirusTotal gibi harici API'lere ve uyarı araçlarına bağlanır. VirusTotal entegrasyonu, FIM modülü tarafından izlenen dosyalar ve dizinler içindeki kötü amaçlı dosya karmalarını tespit etmek için VirusTotal API'sini kullanır. Etkinleştirildikten sonra, FIM uyarılar ürettiğinde, Wazuh uyarıdan işaretli dosyayla ilişkili karma değerini çıkarmak için VirusTotal entegrasyonunu başlatır. VirusTotal API daha sonra bu karmaları potansiyel olarak kötü amaçlı içerik için tarama motorlarıyla karşılaştırmak için kullanılır.

  • Dosya bütünlüğü izleme ve Aktif Yanıt : Wazuh Aktif Yanıt modülü, zamanında belirlenen tehditlere otomatik olarak yanıt verir. Bu kombinasyon, FIM modülünün yalnızca kötü amaçlı etkinlikleri algılamasını değil, aynı zamanda bunlara yanıt vermesini de sağlar. FIM modülü izlenen ortamınızdaki dosya değişikliklerini algıladığında yürütülecek aktif yanıt betiklerini yapılandırabilirsiniz. Ayrıca, gerçekleştirilen yanıt için uyarılar da üretir. Bu, algılanan kötü amaçlı değişiklikler zamanında giderildiği için Ortalama Yanıt Süresini (MTTR) azaltır.

    Aşağıdaki görüntüde Wazuh, izlenen uç noktaya bir dosya eklendiğinde tetiklenir. VirusTotal API dosyayı tarar ve 55 motorda kötü amaçlı içerik olarak tanımlar. Ardından Wazuh Active Response modülü tehdidi izlenen uç noktadan kaldırmak için hemen harekete geçer.

fim-ar-virustotal-alerts1.png

  • Dosya bütünlüğü izleme ve CDB listesi : Wazuh FIM modülü, CDB listeleriyle (sabit veritabanı) birleştirildiğinde bilinen kötü amaçlı yazılım imzalarının varlığını kontrol ederek kötü amaçlı dosyaları da algılar . CDB listeleri, dosya karmaları, IP adresleri ve etki alanı adları gibi bilinen kötü amaçlı yazılım Tehlikeye Atma göstergelerini (IOC'ler) depolamak için kullanılır. CDB listeleri oluşturulduğunda, Wazuh, dosya karmaları gibi FIM uyarılarından gelen alan değerlerinin CDB listelerinde depolanan anahtarlarla eşleşip eşleşmediğini kontrol eder. Eşleşirse, özel kuralınızı nasıl yapılandırdığınıza bağlı olarak bir uyarı ve yanıt oluşturur.

malware-hash-file-alerts1.png

Windows Kayıt Defterini İzleme

Wazuh FIM modülü, Windows Kayıt Defteri girdilerini düzenli olarak tarar, yerel bir veritabanında denetim toplamlarını ve özniteliklerini depolar ve kayıt defteri değerlerinde değişiklikler algılandığında uyarı verir. Bu, kullanıcıları kötü amaçlı olsun veya olmasın, kullanıcı etkinliklerinden veya yazılım yüklemelerinden kaynaklanan kayıt defteri değişiklikleri hakkında bilgilendirir.

Wazuh açık kaynaklı FIM modülünü çeşitli yapılandırma seçeneklerini kullanarak Windows Kayıt Defteri değerlerini izleyecek şekilde yapılandırabilirsiniz . windows_registryreport_changes seçeneğindeki öznitelik, izlenen Windows Kayıt Defteri değerinde algılanan değişikliklerin ayrıntılı bir dökümünü sağlar. Modülün hangi Windows Kayıt Defteri özniteliklerini kaydedeceğini veya yoksayacağını yapılandırabilirsiniz. Örneğin, CDB listeniz yalnızca kötü amaçlı dosyaların SHA1 karmalarını içeriyorsa, özniteliği kaydetmeyi ve yoksaymayı seçebilirsiniz .check_sha1sumcheck_md5sum

Aşağıdaki görüntü, izlenen bir uç noktadaki değiştirilmiş bir Windows kayıt defteri değerinin olayını göstermektedir.

fim-modified-registry-key-alert1.png

Genişletildiğinde uyarı değiştirilen alanı gösterir.

fim-modified-registry-key-alert-details1.png

Tehdit aktörleri, kötü amaçlı faaliyetleri için Kayıt Defterindeki Run ve RunOnce anahtarlarına yaygın olarak programlar ekleyerek kalıcılıklarını sürdürürler. Ayrıca, Wazuh başlangıç ​​kayıt defteri anahtarlarına eklenen şüpheli programları tespit eder. Bu, sisteminize zarar vermeden önce bunları kaldırmak için uygun eylemi gerçekleştirmenizi sağlar.

fim-registry-value-added-alerts1.png

Mevzuata uygunluğun sağlanması

Düzenleyici uyumluluk gerekliliklerini karşılamak, çeşitli sektörlerdeki kuruluşlar için önemli bir husustur. Dosya bütünlüğü izleme, PCI DSS, SOX, HIPAA, NIST SP 800-53 gibi düzenlemelere uyum sağlamak için bir gerekliliktir.

Wazuh FIM modülünü, kuruluşunuzun hassas ve gizli verilerinin depolandığı belirli dosyaları ve dizinleri izleyecek şekilde özelleştirebilirsiniz. Wazuh, izlenen dosyalarda ve dizinlerde yapılan değişiklikleri özetleyen kapsamlı bir rapor sunar. Bu özellik, çeşitli düzenleyici standartlara uyumu sağlamak için özellikle yararlıdır.

Örneğin, kuruluşlar Wazuh kullanarak NIST SP 800-53 standardındaki CM-3 Yapılandırma değişikliği kontrol gereksinimini karşılayabilir . Kontrol, kuruluşların hareketsiz bilgileri korumasını ve altyapılarındaki yapılandırma değişikliklerini izlemesini gerektirir. Aşağıdaki görüntü, izlenen bir uç noktada Karmaşık Olmayan Güvenlik Duvarı (UFW) kural dosyaları için izinler değiştirildiğinde oluşturulan bir olayı gösterir.

Back to top