上个博客我没时间和空间了。这个博客介绍了FIM是如何工作的,以及在哪里搜索提供相关工具的供应商。
以下是文件完整性监视的工作原理。最初扫描感兴趣的文件以创建基线。然后,每次重新扫描文件时,根据您希望指定的任何时间段,将当前配置与原始配置进行比较。对文件检测到的任何更改都将被记录并包含在报告中。
文件扫描的结果存储为散列值,这是一种单向加密技术,用于验证其他过于重要而不能存储在clear中的数据,如用户凭证。将重新扫描的文件的哈希值与初始扫描的哈希值进行比较,如果出现差异,则进行更改。
FIM工具的各种供应商可以通过决定在文件中存储数据子集的粒度来定义报告的粒度。例如,一些供应商将测试并报告文件访问权限的更改,以及在特定权限内更改了哪些内容的详细信息。
FIM工具的供应商在其工具的部署和交付方式上也存在差异。因此,评估FIM工具时要考虑的一些关键变量是:
•报告的粒度。
•每个端点都需要代理吗?管理代理的总生命周期成本是多少?
•该工具能否提供超过FIM的功能,例如与策略遵从性软件工具进行沟通的能力。
•根据风险对漏洞进行分类,用户可以将风险级别归咎于漏洞。
•自动发现文件,以确定遗忘的文件/服务器。
•灵活的安排和周期的重新扫描。
•能够远程管理工具。
鱼翅供应商
通过使用关键字短语,可以很容易地找到供应商,例如:文件完整性监视、文件完整性检查、文件完整性监视比较、文件完整性管理、文件完整性监视、Windows文件完整性监视和开源文件完整性监视。你会发现许多供应商包括:
- 文件和服务器监控
- 绊网,保持理想状态
- Bit9,文件完整性监控和注册表保护
- 赛门铁克数据丢失预防(DLP)
- Websense数据安全解决方案(DSS)
- Ncircle无代理文件配置审核
- LogRhythm FIM Windows文件完整性检查
- Windows文件完整性检查
希望这对您有所帮助。有一个安全的星期。Ron Lepofsky CISSP, CISM,www.ere-security.ca