Monitoreo de la integridad de archivos

Monitoreo de la integridad de los archivos (FIM)

El monitoreo de la integridad de los archivos (FIM) es el proceso de utilizar la tecnología para controlar todos los cambios realizados en los archivos y carpetas críticos de forma centralizada para garantizar la integridad de su contenido.

 

 

¿Qué es el monitoreo de la integridad de los archivos?

En pocas palabras: El FIM se utiliza para controlar y validar los cambios realizados en los archivos y carpetas. Una solución de FIM garantiza la exactitud de los datos al anticipar los cambios no autorizados. Los cambios pueden ser la creación, la eliminación, el acceso, la modificación o el cambio de nombre de los archivos y carpetas, incluidos los intentos fallidos de realizar cualquiera de estas acciones.

Los archivos en cuestión suelen ser archivos de datos, del sistema y de log; en otras palabras, archivos que son críticos para cualquier empresa. Los cambios no autorizados en este tipo de archivos pueden tener consecuencias adversas.

  • Los cambios no autorizados en los datos personales de los clientes o los empleados pueden dar lugar a incumplimientos y repercusiones legales para la empresa.
  • Los cambios en los archivos del sistema pueden hacer que los servidores o las aplicaciones no funcionen correctamente.
  • Los atacantes maliciosos podrían intentar manipular los archivos de log para cubrir sus huellas mientras llevan a cabo un ataque.

Estos casos anteriores resaltan la importancia de monitorear las actividades en los archivos y carpetas, así como de mantenerse informado de los cambios. Monitorear la integridad de los archivos es vital para garantizar la seguridad, tanto que el FIM es obligatorio en varias normativas de cumplimiento y forma parte fundamental de la estrategia de seguridad informática de una organización.

El proceso de FIM: Auditoría, informes y alertas

El objetivo básico del FIM es controlar los cambios en los archivos y carpetas y alertar sobre las actividades sospechosas. Las herramientas de FIM auditan continuamente los archivos y carpetas, manteniendo un registro de todos los cambios que se han realizado. Los detalles de los cambios deben responder las cuatro preguntas vitales de la auditoría:

 

Quién hizo el cambio

 

Cuál archivo fue cambiado

 

Cuándo se hizo el cambio

 

Cuál es el nuevo valor y cuál era el valor anterior

La forma más eficiente de controlar estos cambios es generar informes gráficos que ayuden a visualizar lo que está ocurriendo. Los informes permiten a los equipos de seguridad revisar y validar periódicamente todos los cambios que se han realizado en los archivos y carpetas. Para que el proceso sea eficiente, los equipos de seguridad pueden programar los informes para revisar periódicamente la lista de cambios que se han realizado.

Una vez programados los informes, se pueden configurar alertas para detectar los cambios no autorizados. Dado que el FIM está estrechamente relacionado con la gestión de eventos e información de seguridad (SIEM), la mayoría de las soluciones de SIEM incluyen funciones de FIM, proporcionando así una solución única para los equipos de seguridad. Además, se puede aplicar machine learning a los datos recopilados por la solución de FIM para descubrir anomalías con mayor precisión.

Aquí es donde entra en escena el análisis del comportamiento del usuario (UBA). El UBA aumenta la funcionalidad de la FIM aplicando técnicas de machine learning a los datos del FIM para detectar actividades anómalas. Esto contribuye en gran medida a frenar las amenazas internas y los intentos de exfiltración de datos en una fase temprana. Es una buena idea buscar una solución de SIEM que no sólo ofrezca un FIM básico, sino que también tenga un componente de UBA.

Funciones de FIM de Log360

Log360, una solución de SIEM completa de ManageEngine, incluye con un potente módulo de FIM que ayuda a las organizaciones a lograr sus objetivos de seguridad y cumplimiento. La solución audita las actividades en archivos y carpetas de forma exhaustiva para obtener información procesable. Log360 proporciona soporte de FIM out-of-the-box para:

  • Servidores de archivo Windows
  • Failover clusters
  • Servidores de archivo Linux
  • Servidores EMC
  • Archivadores de NetApp

Log360 emplea mecanismos con agente y sin agente para FIM, permitiendo a los equipos de seguridad elegir la implementación según sus necesidades. Log360 genera informes para supervisar cada acceso, creación, eliminación, modificación y cambio de permisos en los archivos y carpetas. La solución activa alertas por SMS o correo electrónico en caso de acciones no autorizadas.

El módulo de FIM de Log360 se complementa con el módulo de UBA integrado, que puede emitir alarmas para anomalías basadas en el recuento, la hora y el patrón de los eventos. El módulo de UBA ayuda a los equipos de seguridad a detectar anomalías en el comportamiento de los usuarios para detectar las amenazas que de otro modo podrían pasar desapercibidas.

FIM para cumplir con la normativa

Para demostrar el cumplimiento de la normativa, los equipos de seguridad deben mantener la pista de auditoría de los cambios en los archivos y carpetas, y ser capaces de elaborar informes para cualquier periodo de tiempo. Algunas de las normas de cumplimiento más conocidas que requieren un FIM son:

  •  

    PCI DSS El requisito 11.5 del PCI DSS exige que las organizaciones implementen una herramienta de FIM para controlar los cambios y alertar sobre las modificaciones no autorizadas en los archivos. El módulo de FIM integrado de Log360 ayuda a cumplir este requisito.

  •  

    SOX El FIM de Log360 desempeña un papel fundamental en la aplicación de los controles de TI internos que exige la Sección 404.

  •  

    FISMA Los informes de auditoría de Log360 desempeñan un papel crucial en el cumplimiento de los requisitos de auditoría y rendición de cuentas (AU) de FISMA.

  •  

    HIPPA El objetivo de la HIPAA es proteger la información sanitaria, y la función de FIM de Log360 ayuda a monitorear y garantizar la integridad de los expedientes médicos de los pacientes.

Log360 proporciona informes predefinidos para cumplir los requisitos de las normativas mencionadas y otras regulaciones.

Casos de uso del FIM de Log360

 

  •  

    Generar informes de auditoría: Los informes de cambios de Log360 son granulares; se pueden generar en función de los servidores, los usuarios y los procesos. Los informes se pueden programar para revisar los cambios periódicamente.

  •  

    Alertar múltiples eventos de acceso fallido: Log360 supervisa los intentos fallidos de realizar cambios y puede alertar a los equipos de seguridad cuando el número de intentos fallidos de acceso o de cambio supera un umbral específico.

  •  

    Alertar múltiples eventos que se producen en un corto periodo de tiempo: Log360 puede detectar y alertar cuando se produce una secuencia de eventos sospechosa, como un patrón de fuerza bruta seguido de modificaciones de archivos.

  •  

    Detectar cambios en los permisos que pueden exponer los datos sensibles: Los cambios en los permisos de los archivos pueden exponer los datos sensibles y dar lugar a infracciones normativas. Log360 notifica al instante a los equipos de seguridad sobre los cambios realizados en los permisos de archivos, carpetas y recursos compartidos cruciales.

  •  

    Detectar actividades anómalas en los archivos: El módulo de UBA de Log360 perfila los comportamientos de los usuarios y crea una línea de base de seguridad de las actividades de los usuarios. Si un usuario hace algo inusual, se detecta la anomalía al instante y se activa una alarma. Por ejemplo, cuando un usuario que normalmente trabaja de 10am a 6pm borra un archivo a las 11pm, la solución marca la actividad como una anomalía.

FIM de Log360

File integrity monitoring

Funciones destacadas de Log360

  • Gestión, búsqueda y almacenamiento de logs: Log360 agrega logs de varias fuentes, proporciona un mecanismo intuitivo para buscar entre los datos y archiva los logs de forma segura durante el tiempo que sea necesario.
  • Auditoría de cambios en Active Directory en tiempo real: La solución puede controlar los cambios en Active Directory en tiempo real y alertar sobre los cambios críticos, como los cambios realizados en los grupos de nivel superior.
  • Auditoría out of the box: La solución es compatible con una amplia gama de fuentes de log, incluidos los controladores de dominio, las bases de datos, los servidores web y los firewalls. Incluye más de 1.000 informes de auditoría predefinidos que se pueden asociar a las alertas.
  • Alertas de seguridad: La solución puede activar alertas granulares para los eventos de interés para ayudar a las organizaciones a detectar los incidentes de seguridad en una etapa temprana.
  • Correlación de eventos: El motor de correlación de eventos puede asociar eventos de varios sistemas y descubrir patrones de ataque complejos en una fase temprana.
  • Gestión de incidentes: La solución se puede integrar con un servicio de mesa de ayuda de TI para garantizar que cada alerta que se active se emita como un ticket para el administrador designado, lo que resulta en soluciones más transparentes.
  • Inteligencia de amenazas: La plataforma de inteligencia de amenazas de Log360 puede procesar las fuentes STIX/TAXII y detectar el tráfico malicioso en una red, incluidas las conexiones salientes a dominios maliciosos y servidores de retrollamada.

¿Está interesado en explorar el producto?

Empiece descargando una prueba gratuita de 30 días.

  • Please enter a business email id
  •  
  •  
    Al hacer clic en 'Obtener una prueba gratuita', usted acepta que sus datos personales sean tratados de acuerdo con la Política de Privacidad.

¡Gracias!

¡Tu descarga está en curso y se completará en solo unos segundos!
Si tiene algún problema, descargue manualmente aquí