hacktricks/forensics/basic-forensic-methodology/file-integrity-monitoring.md

Baseline

Uma linha de base consiste em tirar uma foto de certas partes de um sistema para compará-la com um status futuro para destacar mudanças.

Por exemplo, você pode calcular e armazenar o hash de cada arquivo do sistema de arquivos para poder descobrir quais arquivos foram modificados.
Isso também pode ser feito com as contas de usuário criadas, processos em execução, serviços em execução e qualquer outra coisa que não deva mudar muito, ou nada.

Monitoramento de Integridade de Arquivos

O monitoramento de integridade de arquivos é uma das técnicas mais poderosas usadas para proteger infraestruturas de TI e dados empresariais contra uma ampla variedade de ameaças conhecidas e desconhecidas.
O objetivo é gerar uma linha de base de todos os arquivos que você deseja monitorar e, em seguida, verificar periodicamente esses arquivos em busca de possíveis alterações (no conteúdo, atributo, metadados, etc.).

1. Comparação de linha de base, em que um ou mais atributos de arquivo serão capturados ou calculados e armazenados como uma linha de base que pode ser comparada no futuro. Isso pode ser tão simples quanto a hora e a data do arquivo, no entanto, como esses dados podem ser facilmente falsificados, uma abordagem mais confiável é geralmente usada. Isso pode incluir avaliar periodicamente o checksum criptográfico para um arquivo monitorado (por exemplo, usando o algoritmo de hash MD5 ou SHA-2) e, em seguida, comparar o resultado com o checksum calculado anteriormente.

2. Notificação de alteração em tempo real, que é tipicamente implementada dentro ou como uma extensão do kernel do sistema operacional que sinalizará quando um arquivo for acessado ou modificado.

Ferramentas

• https://github.com/topics/file-integrity-monitoring
• https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software

Referências

• https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!

• Descubra The PEASS Family, nossa coleção exclusiva de NFTs

• Adquira o swag oficial do PEASS & HackTricks

• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.

• Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e hacktricks-cloud repo.