hacktricks/forensics/basic-forensic-methodology/file-integrity-monitoring.md

3.8 KiB

{% hint style="success" %} Impara e pratica l'hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks
{% endhint %}

Baseline

Un baseline consiste nel prendere uno snapshot di determinate parti di un sistema per confrontarlo con uno stato futuro per evidenziare cambiamenti.

Ad esempio, puoi calcolare e memorizzare l'hash di ciascun file del filesystem per poter scoprire quali file sono stati modificati.
Questo può essere fatto anche con gli account utente creati, i processi in esecuzione, i servizi in esecuzione e qualsiasi altra cosa che non dovrebbe cambiare molto, o affatto.

Monitoraggio dell'integrità dei file

Il Monitoraggio dell'Integrità dei File (FIM) è una tecnica di sicurezza critica che protegge gli ambienti IT e i dati tracciando le modifiche nei file. Coinvolge due passaggi chiave:

  1. Confronto del Baseline: Stabilire un baseline utilizzando attributi dei file o checksum crittografici (come MD5 o SHA-2) per confronti futuri per rilevare modifiche.
  2. Notifica di Modifica in Tempo Reale: Ricevi avvisi istantanei quando i file vengono accessati o modificati, tipicamente attraverso estensioni del kernel OS.

Strumenti

Riferimenti

{% hint style="success" %} Impara e pratica l'hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks
{% endhint %}