El monitoreo de la integridad de los archivos (FIM) es el proceso de utilizar la tecnología para controlar todos los cambios realizados en los archivos y carpetas críticos de forma centralizada para garantizar la integridad de su contenido.
En pocas palabras: El FIM se utiliza para controlar y validar los cambios realizados en los archivos y carpetas. Una solución de FIM garantiza la exactitud de los datos al anticipar los cambios no autorizados. Los cambios pueden ser la creación, la eliminación, el acceso, la modificación o el cambio de nombre de los archivos y carpetas, incluidos los intentos fallidos de realizar cualquiera de estas acciones.
Los archivos en cuestión suelen ser archivos de datos, del sistema y de log; en otras palabras, archivos que son críticos para cualquier empresa. Los cambios no autorizados en este tipo de archivos pueden tener consecuencias adversas.
Estos casos anteriores resaltan la importancia de monitorear las actividades en los archivos y carpetas, así como de mantenerse informado de los cambios. Monitorear la integridad de los archivos es vital para garantizar la seguridad, tanto que el FIM es obligatorio en varias normativas de cumplimiento y forma parte fundamental de la estrategia de seguridad informática de una organización.
El objetivo básico del FIM es controlar los cambios en los archivos y carpetas y alertar sobre las actividades sospechosas. Las herramientas de FIM auditan continuamente los archivos y carpetas, manteniendo un registro de todos los cambios que se han realizado. Los detalles de los cambios deben responder las cuatro preguntas vitales de la auditoría:
Quién hizo el cambio
Cuál archivo fue cambiado
Cuándo se hizo el cambio
Cuál es el nuevo valor y cuál era el valor anterior
La forma más eficiente de controlar estos cambios es generar informes gráficos que ayuden a visualizar lo que está ocurriendo. Los informes permiten a los equipos de seguridad revisar y validar periódicamente todos los cambios que se han realizado en los archivos y carpetas. Para que el proceso sea eficiente, los equipos de seguridad pueden programar los informes para revisar periódicamente la lista de cambios que se han realizado.
Una vez programados los informes, se pueden configurar alertas para detectar los cambios no autorizados. Dado que el FIM está estrechamente relacionado con la gestión de eventos e información de seguridad (SIEM), la mayoría de las soluciones de SIEM incluyen funciones de FIM, proporcionando así una solución única para los equipos de seguridad. Además, se puede aplicar machine learning a los datos recopilados por la solución de FIM para descubrir anomalías con mayor precisión.
Aquí es donde entra en escena el análisis del comportamiento del usuario (UBA). El UBA aumenta la funcionalidad de la FIM aplicando técnicas de machine learning a los datos del FIM para detectar actividades anómalas. Esto contribuye en gran medida a frenar las amenazas internas y los intentos de exfiltración de datos en una fase temprana. Es una buena idea buscar una solución de SIEM que no sólo ofrezca un FIM básico, sino que también tenga un componente de UBA.
Log360, una solución de SIEM completa de ManageEngine, incluye con un potente módulo de FIM que ayuda a las organizaciones a lograr sus objetivos de seguridad y cumplimiento. La solución audita las actividades en archivos y carpetas de forma exhaustiva para obtener información procesable. Log360 proporciona soporte de FIM out-of-the-box para:
Log360 emplea mecanismos con agente y sin agente para FIM, permitiendo a los equipos de seguridad elegir la implementación según sus necesidades. Log360 genera informes para supervisar cada acceso, creación, eliminación, modificación y cambio de permisos en los archivos y carpetas. La solución activa alertas por SMS o correo electrónico en caso de acciones no autorizadas.
El módulo de FIM de Log360 se complementa con el módulo de UBA integrado, que puede emitir alarmas para anomalías basadas en el recuento, la hora y el patrón de los eventos. El módulo de UBA ayuda a los equipos de seguridad a detectar anomalías en el comportamiento de los usuarios para detectar las amenazas que de otro modo podrían pasar desapercibidas.
Para demostrar el cumplimiento de la normativa, los equipos de seguridad deben mantener la pista de auditoría de los cambios en los archivos y carpetas, y ser capaces de elaborar informes para cualquier periodo de tiempo. Algunas de las normas de cumplimiento más conocidas que requieren un FIM son:
PCI DSS El requisito 11.5 del PCI DSS exige que las organizaciones implementen una herramienta de FIM para controlar los cambios y alertar sobre las modificaciones no autorizadas en los archivos. El módulo de FIM integrado de Log360 ayuda a cumplir este requisito.
SOX El FIM de Log360 desempeña un papel fundamental en la aplicación de los controles de TI internos que exige la Sección 404.
FISMA Los informes de auditoría de Log360 desempeñan un papel crucial en el cumplimiento de los requisitos de auditoría y rendición de cuentas (AU) de FISMA.
HIPPA El objetivo de la HIPAA es proteger la información sanitaria, y la función de FIM de Log360 ayuda a monitorear y garantizar la integridad de los expedientes médicos de los pacientes.
Log360 proporciona informes predefinidos para cumplir los requisitos de las normativas mencionadas y otras regulaciones.
Generar informes de auditoría: Los informes de cambios de Log360 son granulares; se pueden generar en función de los servidores, los usuarios y los procesos. Los informes se pueden programar para revisar los cambios periódicamente.
Alertar múltiples eventos de acceso fallido: Log360 supervisa los intentos fallidos de realizar cambios y puede alertar a los equipos de seguridad cuando el número de intentos fallidos de acceso o de cambio supera un umbral específico.
Alertar múltiples eventos que se producen en un corto periodo de tiempo: Log360 puede detectar y alertar cuando se produce una secuencia de eventos sospechosa, como un patrón de fuerza bruta seguido de modificaciones de archivos.
Detectar cambios en los permisos que pueden exponer los datos sensibles: Los cambios en los permisos de los archivos pueden exponer los datos sensibles y dar lugar a infracciones normativas. Log360 notifica al instante a los equipos de seguridad sobre los cambios realizados en los permisos de archivos, carpetas y recursos compartidos cruciales.
Detectar actividades anómalas en los archivos: El módulo de UBA de Log360 perfila los comportamientos de los usuarios y crea una línea de base de seguridad de las actividades de los usuarios. Si un usuario hace algo inusual, se detecta la anomalía al instante y se activa una alarma. Por ejemplo, cuando un usuario que normalmente trabaja de 10am a 6pm borra un archivo a las 11pm, la solución marca la actividad como una anomalía.
Empiece descargando una prueba gratuita de 30 días.
¡Tu descarga está en curso y se completará en solo unos segundos!
Si tiene algún problema, descargue manualmente aquí