hacktricks/forensics/basic-forensic-methodology/file-integrity-monitoring.md

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

ベースライン

ベースラインは、システムの特定の部分のスナップショットを取ることで、将来の状態と比較して変更点を強調することを目的としています。

たとえば、ファイルシステムの各ファイルのハッシュを計算して保存することで、どのファイルが変更されたかを特定できます。
これは、作成されたユーザーアカウント、実行中のプロセス、実行中のサービスなど、ほとんど変更されないか、まったく変更されないはずのものでも行うことができます。

ファイル整合性監視

ファイル整合性監視（FIM）は、ファイルの変更を追跡することによってIT環境とデータを保護する重要なセキュリティ技術です。主な手順は次のとおりです。

1. ベースライン比較: ファイル属性や暗号ハッシュ（MD5やSHA-2など）を使用してベースラインを確立し、将来の比較のために変更を検出します。
2. リアルタイム変更通知: ファイルがアクセスまたは変更されたときに即座にアラートを受け取ります。通常、OSカーネル拡張機能を介して行われます。

ツール

• https://github.com/topics/file-integrity-monitoring
• https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software

参考文献

• https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}