hacktricks/forensics/basic-forensic-methodology/file-integrity-monitoring.md

3.9 KiB

{% hint style="success" %} Aprende y practica AWS Hacking: HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks
{% endhint %}

Baseline

Un baseline consiste en tomar una instantánea de ciertas partes de un sistema para compararla con un estado futuro y resaltar los cambios.

Por ejemplo, puedes calcular y almacenar el hash de cada archivo del sistema de archivos para poder averiguar qué archivos fueron modificados.
Esto también se puede hacer con las cuentas de usuario creadas, procesos en ejecución, servicios en ejecución y cualquier otra cosa que no debería cambiar mucho, o en absoluto.

Monitoreo de Integridad de Archivos

El Monitoreo de Integridad de Archivos (FIM) es una técnica de seguridad crítica que protege los entornos de TI y los datos mediante el seguimiento de los cambios en los archivos. Involucra dos pasos clave:

  1. Comparación de Baseline: Establecer un baseline utilizando atributos de archivo o sumas de verificación criptográficas (como MD5 o SHA-2) para comparaciones futuras y detectar modificaciones.
  2. Notificación de Cambios en Tiempo Real: Recibir alertas instantáneas cuando los archivos son accedidos o alterados, típicamente a través de extensiones del kernel del sistema operativo.

Herramientas

Referencias

{% hint style="success" %} Aprende y practica AWS Hacking: HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks
{% endhint %}