7 En İyi Dosya Bütünlüğü İzleme Yazılımı (2020 İnceleme)

BT güvenliği önemli bir konudur. Haber, güvenlik ihlalleri, veri hırsızlığı veya fidye yazılımı hikayeleriyle doluyor. Bazıları, bunların hepsinin sadece zamanımızın bir işareti olduğunu iddia edecek, ancak her türlü BT ortamını korumak, bu tür tehditlere karşı korunmak, iş.

Bu nedenle, Dosya Bütünlüğü İzleme (FIM) yazılımı neredeyse her kuruluş için vazgeçilmez bir araç haline gelmiştir. Birincil amacı, herhangi bir yetkisiz veya beklenmedik dosya değişikliğinin hızlı bir şekilde tanımlanmasını sağlamaktır. Herhangi bir şirket için önemli olan ve göz ardı edilmemesi gereken genel veri güvenliğinin geliştirilmesine yardımcı olabilir.

Bugün, Dosya Bütünlüğü İzleme'ye kısaca göz atarak başlayacağız. Ne olduğunu ve nasıl çalıştığını basit terimlerle açıklamak için elimizden geleni yapacağız. Ayrıca, kimin kullanması gerektiğine de bir göz atacağız. Büyük olasılıkla kimsenin bundan faydalanabileceğini öğrenmek büyük bir sürpriz olmayacak ve nasıl ve neden olduğunu göreceğiz. Dosya Dürüstlük İzleme hakkında hepimiz aynı sayfada olduktan sonra, bu yayının çekirdeğine atlamaya ve piyasanın sunduğu en iyi araçlardan bazılarını kısaca gözden geçirmeye hazır olacağız.

Dosya Bütünlüğü İzleme Nedir?

Özünde, dosya bütünlüğü izleme, BT güvenlik yönetimi sürecinin önemli bir öğesidir. Bunun arkasındaki ana kavram, bir dosya sisteminde yapılan herhangi bir değişikliğin hesaba katılmasını ve beklenmedik bir değişikliğin hızlı bir şekilde tanımlanmasını sağlamaktır.

Bazı sistemler gerçek zamanlı olarak dosya bütünlüğü izleme olanağı sunarken, performans üzerinde daha yüksek bir etkiye sahip olma eğilimindedir, bu nedenle genellikle anlık görüntü tabanlı bir sistem tercih edilir. Bir dosya sisteminin anlık görüntülerini düzenli aralıklarla alıp bir öncekiyle veya önceden kurulmuş bir taban çizgisiyle karşılaştırarak çalışır. Algılama nasıl çalışırsa çalışsın (gerçek zamanlı olsun ya da olmasın), bir tür yetkisiz erişim veya kötü amaçlı etkinlik öneren algılanan değişiklikler (dosya boyutunda ani bir değişiklik veya belirli bir kullanıcı veya kullanıcı grubu tarafından erişim gibi) ve uyarı verilir ve / veya bir form veya düzeltme işlemi başlattı. Bir uyarı penceresi açılmasından orijinal dosyayı bir yedeklemeden geri yüklemeye veya tehlike altındaki dosyaya erişimi engellemeye kadar değişebilir.

Dosya Bütünlüğü İzleme Kimler İçin?

Bu sorunun hızlı cevabı herkes. Gerçekten, her kuruluş File Integrity Monitoring yazılımını kullanabilir. Ancak, birçoğu bunu kullanmayı seçecektir çünkü zorunlu olduğu bir durumdadırlar. Örneğin, Dosya Bütünlüğü İzleme yazılımı, PCI DSS, Sarbanes-Oxley veya HIPAA gibi bazı düzenleyici çerçeveler tarafından gereklidir veya güçlü bir şekilde belirtilmiştir. Somut olarak, eğer finans veya sağlık sektöründeyseniz veya ödeme kartlarını işliyorsanız, Dosya Bütünlüğü İzleme bir seçenek olmaktan çok bir gerekliliktir.

Benzer şekilde, zorunlu olmasa da, hassas bilgilerle ilgilenen herhangi bir kuruluş Dosya Bütünlüğü İzleme yazılımını güçlü bir şekilde dikkate almalıdır. İster müşteri verilerini ister ticari sırları saklayın, bu tür araçları kullanmanın bariz bir avantajı vardır. Seni her türlü aksilikten kurtarabilir.

Ancak Dosya Bütünlüğü İzleme yalnızca büyük kuruluşlar için değildir. Büyük işletmeler ve orta ölçekli işletmeler Dosya Bütünlüğü İzleme yazılımının öneminin farkında olma eğiliminde olmalarına rağmen, küçük işletmeler de kesinlikle bunu dikkate almalıdır. Bu, özellikle her ihtiyaca ve bütçeye uygun Dosya Bütünlüğü İzleme araçları bulunduğunu dikkate aldığınızda doğrudur. Aslında, listemizdeki çeşitli araçlar ücretsiz ve açık kaynaklıdır.

En İyi Dosya Bütünlüğü İzleme Yazılımı

Dosya Bütünlüğü İzleme işlevselliği sunan sayısız araç vardır. Bazıları temelde başka hiçbir şey yapmayan özel araçlardır. Bazıları ise, Dosya Bütünlüğü İzlemesini güvenlikle ilgili diğer işlevlerle entegre eden geniş bir BT güvenlik çözümüdür. Her iki aracı da listemize dahil etmeye çalıştık. Sonuçta, Dosya Bütünlüğü İzleme genellikle diğer işlevleri içeren bir BT güvenlik yönetimi çabasının bir parçasıdır. O zaman neden entegre bir araç kullanmıyorsunuz?

Birçok ağ ve sistem yöneticisi SolarWinds. Sonuçta, şirket yaklaşık yirmi yıldır en iyi araçlardan bazılarını yapıyor. Amiral gemisi ürünü, SolarWinds Ağ Performansı İzleyicisi piyasadaki en iyi araçlardan biri olarak kabul edilir. Ve işleri daha da iyi hale getirmek için, SolarWinds bazı ağ yönetimi görevlerine yönelik ücretsiz araçlar da yayınlar.

Süre SolarWinds özel bir dosya bütünlüğü izleme aracı, Güvenlik Bilgileri ve Olay Yönetimi (SIEM) aracı, SolarWinds Güvenlik Etkinlik Yöneticisi, çok iyi bir dosya bütünlüğü izleme modülü içerir. Bu ürün kesinlikle piyasadaki en iyi giriş seviyesi SIEM sistemlerinden biridir. Araç, bir SIEM aracından bekleyebileceğiniz neredeyse her şeye sahiptir. Buna mükemmel günlük yönetimi ve korelasyon özellikleri ile etkileyici bir raporlama motoru ve elbette dosya bütünlüğü izleme dahildir.

ÜCRETSİZ DENEME:SolarWinds Güvenlik Etkinlik Yöneticisi

Resmi İndirme Linki:https://www.solarwinds.com/security-event-manager/registration

Dosya bütünlüğü izlemesi söz konusu olduğunda, SolarWinds Güvenlik Etkinlik Yöneticisi hangi kullanıcıların hangi dosya değişikliklerinden sorumlu olduğunu gösterebilir. Ayrıca, çeşitli uyarıları ve raporları oluşturmanıza izin veren ek kullanıcı etkinliklerini de izleyebilir. Aracın ana sayfa kenar çubuğu, Değişiklik Yönetimi başlığı altında kaç değişiklik etkinliğinin meydana geldiğini görüntüleyebilir. Bir şey şüpheli göründüğünde ve daha derine inmek istediğinizde, etkinlikleri anahtar kelimeye göre filtreleme seçeneğiniz vardır.

Araç ayrıca, istenen hiçbir şeyi bırakmayan mükemmel olay yanıtı özelliklerine de sahiptir. Örneğin, ayrıntılı gerçek zamanlı müdahale sistemi her tehdide aktif olarak tepki verecektir. Ve imza yerine davranışa dayandığından, bilinmeyen veya gelecekteki tehditlere ve sıfır gün saldırılarına karşı korunursunuz.

Etkileyici bir özellik setine ek olarak, SolarWinds Güvenlik Etkinlik Yöneticisi’Nin kontrol paneli kesinlikle tartışmaya değer. Basit tasarımı sayesinde, araçta yolunuzu bulmak ve anormallikleri hızlı bir şekilde tanımlamakta zorluk çekmeyeceksiniz. Yaklaşık 4500 dolar ile başlayan araç, uygun fiyattan daha fazla. Denemek ve ortamınızda nasıl çalıştığını görmek istiyorsanız, 30 günlük ücretsiz, tamamen işlevsel bir deneme sürümü indirebilirsiniz.

Resmi İndirme Linki:https://www.solarwinds.com/security-event-manager/registration

2. OSSEC

OSSECEn iyi bilinen açık kaynaklı ana bilgisayar tabanlı saldırı tespit sistemlerinden biri olan Açık Kaynak Güvenliği anlamına gelir. Ürünün sahibi Trend Micro, BT güvenliğinin önde gelen isimlerinden biri ve en iyi virüs koruma paketlerinden birini oluşturuyor. Ürün bu listede ise, çok iyi bir dosya bütünlüğü izleme işlevselliğine sahip olduğundan emin olabilirsiniz.

Linux veya Mac OS işletim sistemlerine yüklendiğinde, yazılım öncelikle günlük ve yapılandırma dosyalarına odaklanır. Önemli dosyaların sağlama toplamlarını oluşturur ve garip bir şey olduğunda sizi uyararak periyodik olarak doğrular. Ayrıca, kök erişimine yönelik herhangi bir anormal girişimi izler ve uyarır. Windows ana bilgisayarlarında, sistem ayrıca kötü amaçlı etkinliklerin açık bir işareti olabilecek yetkisiz kayıt defteri değişikliklerini de izler.

Dosya bütünlüğü izlemesi söz konusu olduğunda, OSSEC adlı belirli bir işlevi vardır Syscheck. Araç varsayılan olarak her altı saatte bir çalışır ve anahtar dosyaların sağlama toplamlarında yapılan değişiklikleri kontrol eder. Modül, CPU kullanımını azaltmak üzere tasarlanmıştır, bu da onu daha az yer kaplayan bir dosya bütünlüğü yönetimi çözümü gerektiren kuruluşlar için potansiyel olarak iyi bir seçenek haline getirir.

Ana bilgisayar tabanlı saldırı tespit sistemi olması nedeniyle, OSSEC korumak istediğiniz her bilgisayara (veya sunucuya) yüklenmesi gerekir. Bu, bu tür sistemlerin ana dezavantajıdır. Ancak, daha kolay yönetim için her korumalı bilgisayardan bilgileri birleştiren merkezi bir konsol mevcuttur. o OSSEC konsol yalnızca Linux veya Mac OS işletim sistemlerinde çalışır. Ancak, Windows ana bilgisayarlarını korumak için bir aracı kullanılabilir. Herhangi bir algılama, merkezi konsolda görüntülenecek bir uyarıyı tetiklerken bildirimler de e-posta ile gönderilir.

3. Samhain Dosya Bütünlüğü

Samhain dosya bütünlüğü kontrolü ve günlük dosyası izleme / analizi sağlayan ücretsiz bir host saldırı tespit sistemidir. Ayrıca, ürün ayrıca rootkit algılama, bağlantı noktası izleme, haydut SUID yürütülebilir dosyalarının algılanması ve gizli işlemleri gerçekleştirir. Bu araç, merkezi günlük kaydı ve bakımı ile çeşitli işletim sistemlerine sahip birden çok sistemi izlemek için tasarlanmıştır. Ancak, Samhain aynı zamanda tek bir bilgisayarda bağımsız bir uygulama olarak da kullanılabilir. Araç, POSIX sistemlerinde çalışabilir. Unix, Linux veya Mac işletim sistemi. Ayrıca üzerinde çalışabilir pencereler altında Cygwin ancak bu yapılandırmada sunucu değil, yalnızca izleme aracısı test edilmiştir.

Linux ana bilgisayarlarında, Samhain dosya sistemi olaylarını izlemek için inotify mekanizmasından yararlanabilir. Gerçek zamanlı Bu, değişiklikler hakkında anında bildirim almanızı sağlar ve yüksek G / Ç yüküne neden olabilecek sık sık dosya sistemi taraması ihtiyacını ortadan kaldırır. Ayrıca, TIGER192, SHA-256, SHA-1 veya MD5 gibi çeşitli sağlama toplamları kontrol edilebilir. Dosya boyutu, mod / izin, sahip, grup, zaman damgası (oluşturma / değiştirme / erişim), inode, sabit bağlantı sayısı ve sembolik bağlantıların bağlantılı yolu da kontrol edilebilir. Araç, SELinux özellikleri, POSIX ACL'leri (sistemlerde) gibi daha “egzotik” özellikleri bile kontrol edebilir bunları destekler), Linux ext2 dosya öznitelikleri (değişmez bayrak gibi chattr tarafından ayarlandığı gibi) ve BSD dosya bayrakları.

Biri Samhain’Nin benzersiz özelliği, nihai saldırganlar tarafından algılanmadan çalışmasını sağlayan gizli modudur. Davetsiz misafirlerin çoğu kez tanıdıkları algılama süreçlerini öldürerek fark edilmemelerini sağlar. Bu araç, işlemlerini diğerlerinden gizlemek için steganografi tekniklerini kullanır. Ayrıca kurcalamayı önlemek için merkezi günlük dosyalarını ve yapılandırma yedeklerini bir PGP anahtarı ile korur. Genel olarak, bu dosya bütünlüğü izlemekten çok daha fazlasını sunan çok eksiksiz bir araçtır.

4. Tripwire Dosya Bütünlüğü Yöneticisi

Sıradaki çözüm tripwireBT güvenliğinde sağlam bir üne sahip bir şirket. Ve dosya bütünlüğü izlemesi söz konusu olduğunda, Tripwire Dosya Bütünlüğü Manager (FIM), tespit edilen değişiklikleri değerlendirirken, önceliklendirirken ve uzlaştırırken düşük riskli değişikliklerden düşük riskli değişiklikleri ayıklamanın çeşitli yollarını sağlayarak gürültüyü azaltmak için eşsiz bir yeteneğe sahiptir. Araç her zamanki gibi birçok değişikliği otomatik olarak tanıtarak gürültüyü azaltır, böylece güvenliği gerçekten etkileyebilecek ve risk oluşturabilecek değişiklikleri araştırmak için daha fazla zamanınız olur. tripwire FIM ayrıntıları gerçek zamanlı olarak kim, ne ve ne zaman tam yakalamak için ajanlar kullanır. Bu, tüm değişiklikleri algılamanıza, her biriyle ilgili ayrıntıları yakalamanıza ve güvenlik riskini veya uyumsuzluğu belirlemek için bu ayrıntıları kullanmanıza yardımcı olur.

tripwire size entegrasyon yeteneği kazandırır Dosya Bütünlüğü Yöneticisi güvenlik denetimlerinizin çoğuyla: güvenlik yapılandırma yönetimi (SCM), günlük yönetimi ve SIEM araçları. Tripwire FIM bu denetimlerdeki verileri daha sezgisel ve verileri daha iyi koruyacak şekilde etiketleyen ve yöneten bileşenler ekler. Örneğin, Olay Entegrasyon Çerçevesi (AYF) şu kaynaktan değerli değişiklikler verileri ekler: Dosya Bütünlüğü Yöneticisi için Tripwire Günlük Merkezi ya da neredeyse diğer herhangi bir SIEM. İle AYF ve diğer temeller tripwire güvenlik denetimleri, BT altyapınızın güvenliğini kolay ve etkili bir şekilde yönetebilirsiniz.

tripwire Dosya Bütünlüğü Yöneticisi tüm değişiklikleri algılamak ve yapılandırmayı ilke dışına alanları düzeltmek için otomasyon kullanır. Gibi mevcut değişiklik bilet sistemleri ile entegre olabilir BMC Çözümü, HP Servis Merkezi veya Şimdi Hizmet, hızlı denetime izin verir. Bu aynı zamanda izlenebilirliği de sağlar. Ayrıca, otomatik uyarılar, bir veya daha fazla spesifik değişiklik tek başına bir değişikliğin neden olmayacağı bir önem eşiğine ulaştığında kullanıcı tarafından özelleştirilmiş yanıtları tetikler. Örneğin, planlanmış bir değişiklik penceresinin dışında yapılan bir izin değişikliğiyle birlikte küçük bir içerik değişikliği.

5. AFICK (Başka Bir Dosya Bütünlüğü Denetleyicisi)

Sıradaki geliştirici Eric Gerbier'den açık kaynaklı bir araç AFICK (Başka Bir Dosya Bütünlüğü Denetleyicisi). Araç Tripwire'a benzer bir işlevsellik sunduğunu iddia etse de, geleneksel açık kaynaklı yazılımlar doğrultusunda çok daha sert bir üründür. Araç, izlediği dosya sistemlerindeki değişiklikleri izleyebilir. Linux (SUSE, Redhat, Debian ve daha fazlası), Windows, HP Tru64 Unix, HP-UX ve AIX gibi birden çok platformu destekler. Yazılım hızlı ve taşınabilir olacak şekilde tasarlanmıştır ve Perl ve standart modüllerini destekleyen herhangi bir bilgisayarda çalışabilir.

Gelince Afick’İn işlevselliği, ana özelliklerine genel bir bakış. Aracın kurulumu kolaydır ve herhangi bir derleme veya birçok bağımlılığın yüklenmesi gerekmez. Kısmen küçük boyutundan dolayı hızlı bir araçtır. Küçük boyutuna rağmen, yeni, silinmiş ve değiştirilmiş dosyaları ve sarkan bağlantıları gösterecektir. İstisnaları ve jokerleri destekleyen basit bir metin tabanlı yapılandırma dosyası kullanır ve Tripwire veya Aide’lere çok benzeyen bir sözdizimi kullanır. Komut satırı aracından uzak durmayı tercih ederseniz hem Tk tabanlı bir grafik kullanıcı arabirimi hem de webmin tabanlı bir web arabirimi kullanılabilir.

AFICK (Başka Bir Dosya Bütünlüğü Denetleyicisi) tamamen taşınabilirlik ve kaynak erişimi için Perl'de yazılmıştır. Ve açık kaynak olduğundan (GNU Genel Kamu Lisansı altında yayınlanmıştır), uygun gördüğünüz gibi işlevsellik eklemekte özgürsünüz. Araç, hızlı olması ve tüm Perl dağıtımlarında yerleşik olması nedeniyle MD5'i kullanır ve açık metin veritabanı kullanmak yerine dbm kullanılır.

6. AIDE (Gelişmiş Saldırı Tespit Ortamı)

Oldukça yanıltıcı bir isme rağmen, AIDE (Gelişmiş Saldırı Tespit Ortamı) aslında bir dosya ve dizin bütünlüğü denetleyicisidir. Yapılandırma dosyasından bulduğu normal ifade kurallarından bir veritabanı oluşturarak çalışır. Veritabanı başlatıldıktan sonra, dosyaların bütünlüğünü doğrulamak için kullanır. Araç, dosyaların bütünlüğünü kontrol etmek için kullanılabilecek birkaç mesaj özeti algoritması kullanır. Ayrıca, olağan dosya özniteliklerinin tümü tutarsızlıklar açısından kontrol edilebilir. Ayrıca daha eski veya daha yeni sürümlerdeki veritabanlarını da okuyabilir.

Özellik-bilge, AIDE değerlendirici tamamlandı. Md5, sha1, rmd160, kaplan, crc32, sha256, sha512 ve jakuzi gibi çoklu mesaj özeti algoritmalarını destekler. Araç, Dosya türü, İzinler, Inode, Uid, Gid, Bağlantı adı, Boyut, Blok sayısı, Bağlantı sayısı, Mtime, Ctime ve Atime gibi çeşitli dosya özniteliklerini kontrol edebilir. Posix ACL, SELinux, XAttrs ve Extended dosya sistemi özniteliklerini de destekleyebilir. Basitlik amacıyla, araç düz metin yapılandırma dosyalarının yanı sıra düz metin veritabanı kullanır. En ilginç özelliklerinden biri, izlenecek dosyaları ve dizinleri seçmeli olarak eklemenizi veya hariç tutmanızı sağlayan güçlü düzenli ifade desteğidir. Bu özellik tek başına onu çok yönlü ve esnek bir araç yapar.

1999'dan beri piyasada olan ürün hala aktif olarak geliştirilmektedir ve en son sürüm (0.16.2) sadece birkaç aylıktır. GNU genel kamu lisansı altında bulunur ve Linux'un modern varyantlarının çoğunda çalışır.

7. Qualys Dosya Bütünlüğü İzleme

Qualys Dosya Bütünlüğü İzleme güvenlik devinden Qualys “normal ve kötü niyetli olaylardan kaynaklanan kritik değişiklikleri, olayları ve riskleri tespit etmek ve tanımlamak için bulut çözümü”. İle geliyor Sektörün en iyi uygulamalarına ve yaygın uyumluluk ve denetim gereksinimleri için satıcı tarafından önerilen yönergelere dayanan hazır profiller, PCI DSS dahil.

Qualys Dosya Bütünlüğü İzleme antivirüs teknolojilerinde kullanılan benzer yaklaşımları kullanarak değişiklikleri gerçek zamanlı olarak etkin bir şekilde tespit eder. Değişiklik bildirimleri tüm dizin yapıları için veya dosya düzeyinde oluşturulabilir. Araç, yoğun bilgi işlem yaklaşımlarına güvenmek yerine erişilen dosyaları tanımlamak için mevcut işletim sistemi çekirdek sinyallerini kullanır. Ürün, dosya veya dizinlerin oluşturulmasını veya kaldırılmasını, dosyaların veya dizinlerin yeniden adlandırılmasını, dosya özniteliklerindeki değişiklikleri, izinler, sahiplik, devralma ve denetim gibi dosya veya dizin güvenlik ayarlarında yapılan değişiklikler veya disk.

Çok katmanlı bir üründür. Qualys Bulut Temsilcisi izleme profilinizde belirtilen dosya ve dizinleri sürekli olarak izler ve hangi kullanıcının ve hangi sürecin dahil olduğu gibi çevre ayrıntılarıyla birlikte neyin değiştiğinin belirlenmesine yardımcı olun değişiklik. Daha sonra verileri Qualys Bulut Platformu analiz ve raporlama için. Bu yaklaşımın avantajlarından biri, sistemlerin şirket içinde, bulutta veya uzaktan da aynı şekilde çalışmasıdır.

Dosya Bütünlüğü İzleme mevcut cihazınızda kolayca etkinleştirilebilir Kalite Aerkekler tuvaletive son nokta üzerinde minimum etki yaparak yerel olarak değişiklikleri izlemeye başlayın. Qualys Bulut Platformu kolayca en büyük ortamlara ölçeklendirmenizi sağlar. İzlenen uç noktalar üzerindeki performans etkisi, yerel olarak dosya değişikliklerinin etkin bir şekilde izlenmesi ve verilerin Qualys Bulut Platformu analiz ve korelasyonun tüm ağır çalışmalarının gerçekleştiği yer. Gelince Qualys Bulut Temsilcisi, kendini güncellemeye ve kendi kendini iyileştirmeye, yeniden başlatmaya gerek kalmadan kendini güncel tutmaya devam ediyor.