文書の過去の版を表示しています。
FIM (File Integrity Monitoring)
概要
File integrity monitoring (FIM) allows you to find out whether critical and important files, such as configuration files, have been modified at any time in a system.
ファイル整合性監視 (FIM) を使用すると、設定ファイルなどの重要なファイルがシステム内でいつでも変更されたかどうかを確認できます。
Pandora FMS incorporates these monitoring features in Endpoints starting from version 784, for both Linux® and MS Windows® systems.
Pandora FMS では、バージョン 784 以降、Linux® と MS Windows® システムの両方で、これらの監視機能を エンドポイント に組み込んでいます。
エージェントでの設定
In the security settings tab of an agent, you may enable or disable FIM monitoring:
エージェントのセキュリティ設定タブでは、FIM 監視を有効または無効にすることができます。
Management → Resources → Manage agents → Edit → Security → Enable FIM
管理(Management) → リソース(Resources) → エージェント管理(Manage agents) → 編集(Edit) → セキュリティ(Security) → FIM を有効にする(Enable FIM)
Enabling this monitoring allows you to specify the paths to files and directories that will be checked at each EndPoint interval.
この監視を有効にすると、エンドポイント 間隔ごとにチェックされる ファイルとディレクトリへのパス を指定できます。
Within the configuration box (FIM files), the path to a file or directory must be specified on each line. Each operating system has default values that may be edited, deleted, or added, if necessary (see also policy configuration).
設定ボックス(FIM ファイル(FIM files))では、各行にファイルまたはディレクトリへのパスを指定する必要があります。各オペレーティングシステムにはデフォルト値があり、必要に応じて編集、削除、または追加できます(ポリシー設定も参照)。
For all the paths indicated, a cache time in seconds will be stored, FIM Cache time (seconds), to determine whether any files were deleted. In other words, if a file goes longer than the specified number of seconds without being detected by the system, it will be considered deleted.
指定されたすべてのパスについて、キャッシュ時間(秒単位)が保存されます(FIM キャッシュ時間 (秒)(FIM Cache time(seconds)))。これは、ファイルが削除されたかどうかを判断するためのものです。つまり、指定された秒数を超えてシステムによって検出されない場合、ファイルは削除されたとみなされます。
In the case of paths to directories, you may also specify certain parameters for detecting changes in the files they contain:
ディレクトリへのパスの場合、そこに含まれるファイルの変更を検出するための特定のパラメータを指定することもできます。
- You may specify the maximum depth (number of subdirectories) within the directory to search for files.
- You may also specify the maximum number of files to monitor in each directory, the maximum size of the files within it, and the file extensions you wish to ignore.
- ファイルを検索するディレクトリ内の最大深度(サブディレクトリの数)を指定できます。
- 各ディレクトリで監視するファイルの最大数、ディレクトリ内のファイルの最大サイズ、および無視するファイル拡張子も指定できます。
To indicate the maximum file size (FIM File max size), enter the value and unit. To indicate the list of extensions to ignore (FIM Skip extensions), separate them by commas.
最大ファイルサイズ(FIM ファイル最大サイズ(FIM File max size))を指定するには、値と単位を入力します。無視する拡張子のリスト(FIM スキップする拡張子(FIM Skip extensions))を指定するには、拡張子をカンマで区切ります。
FIM 検索に含めるファイル
Here you may specify a list of files or directories that will be monitored in detail to detect new files in that directory, files that disappear, or modified files. The maximum depth parameter and the maximum number of files to be processed in a directory parameter are designed so that if a very generic directory is entered, e.g., c:\Windows\System32, the agent does not take up too many system resources. You may configure these parameters to suit your needs and also customize the list of directories and files to be analyzed.
ここでは、詳細に監視するファイルまたはディレクトリのリストを指定できます。これにより、ディレクトリ内の新規ファイル、消失ファイル、変更されたファイルを検出できます。最大深度パラメータとディレクトリパラメータで処理するファイルの最大数は、非常に一般的なディレクトリ(例:c:\Windows\System32)が入力された場合でも、エージェントがシステムリソースを過度に消費しないように設計されています。これらのパラメータはニーズに合わせて設定でき、分析対象のディレクトリとファイルのリストもカスタマイズできます。
There is also a way to exclude certain directories and/or files from the search, for example:
特定のディレクトリやファイルを検索から除外する方法もあります。次に例を示します。
exclude /opt/myapp/*.tmp
Or just leave comments by adding a number at the beginning of each line. That way, they will not be taken into account and may be activated if necessary:
または、各行の先頭に数字を追加してコメントを残すこともできます。そうすれば、コメントは考慮されず、必要に応じて有効にできます。
#exclude /opt/myapp/*.tmp
Dynamic directories (with asterisk wildcards) may be included in the search as follows:
動的ディレクトリ (アスタリスク ワイルドカードを使用) は次のように検索に含めることができます。
C:\Users*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
監視ポリシー設定
The same configuration that may be made on an individual agent may be applied through monitoring policies.
個々のエージェント に対して行われるのと同じ設定が、監視ポリシー を通じて適用できます。
When FIM monitoring is applied from a policy, it will not be possible to modify this configuration directly in agents.
FIM 監視がポリシーから適用される場合、エージェントでこの設定を直接変更することはできません。
When editing a policy, there will be a tab to enable this option:
ポリシーを編集するときに、このオプションを有効にするタブが表示されます。
Management → Configuration → Manage policies menu, click on the name of the policy to edit, File Integrity Monitoring → Apply FIM from this policy tab.
管理(Management) → 設定(Configuration) → ポリシー管理(Manage policies) メニューで、編集するポリシーの名前をクリックし、ファイル整合性監視(File Integrity Monitoring) → このポリシーから FIM を適用(Apply FIM from this policy) タブをクリックします。
In addition to this option, you will also need to continue to indicate whether FIM is enabled or disabled for policy agents (option Enable FIM). If this is not enabled, the FIM policy configuration will not take place.
このオプションに加えて、ポリシーエージェントに対して FIM を有効にするか無効にするかを指定する必要があります(オプションFIM を有効にする(Enable FIM))。有効になっていない場合、FIM ポリシーの設定は実行されません。
These last two options work together to enable disabling FIM monitoring on a set of agents from the policy itself. In such a case, Apply FIM from this policy should be enabled and Enable FIM should be disabled.
これら最後の 2つのオプションを組み合わせることで、ポリシー自体からエージェントセットの FIM 監視を無効にすることができます。この場合、このポリシーから FIM を適用する(Apply FIM from this policy)を有効にし、FIM を有効にする(Enable FIM)を無効にする必要があります。
For EndPoints installed on MS Windows® operating systems, they must be replaced with the following files in the FIM files section:
MS Windows® オペレーティングシステムにインストールされたエンドポイントの場合は、FIM files セクションを次のファイルに置き換える必要があります。
%SystemRoot%\System32\config\SAM %SystemRoot%\System32\config\SYSTEM %SystemRoot%\System32\config\SECURITY %SystemRoot%\System32\config\SOFTWARE %SystemRoot%\System32\config\DEFAULT %SystemRoot%\System32\winlogon.exe %SystemRoot%\System32\lsass.exe %SystemRoot%\System32\services.exe %SystemRoot%\System32\smss.exe %SystemRoot%\System32\svchost.exe %SystemRoot%\System32\csrss.exe %SystemRoot%\System32\winload.exe %SystemRoot%\System32\ntoskrnl.exe %SystemRoot%\System32\drivers\etc\hosts %SystemRoot%\explorer.exe %SystemRoot%\System32\cmd.exe %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe %SystemRoot%\System32\wscript.exe %SystemRoot%\System32\cscript.exe %SystemRoot%\System32\taskmgr.exe %SystemRoot%\SysWOW64\kernel32.dll %SystemRoot%\SysWOW64\user32.dll %SystemRoot%\SysWOW64\advapi32.dll %SystemRoot%\SysWOW64\gdi32.dll %SystemRoot%\SysWOW64\ntdll.dll %SystemRoot%\SysWOW64\ole32.dll %SystemRoot%\SysWOW64\shell32.dll %SystemRoot%\SysWOW64\ws2_32.dll %SystemRoot%\SysWOW64\cmd.exe %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe %SystemRoot%\SysWOW64\wscript.exe %SystemRoot%\SysWOW64\regsvr32.exe %SystemRoot%\SysWOW64\mshta.exe
Otherwise, the configuration is exactly the same as that applied directly to an agent.
それ以外の場合、設定は エージェントに直接適用される設定 とまったく同じです。
FIM monitoring results
FIM monitoring generates the following modules in each agent that has it enabled:
FIM_status: Monitors whether file integrity is maintained for the agent.FIM_status_last_change: Date of the last change in FIM monitoring status.FIM_changed: Monitor the number of changed files.FIM_deleted: Monitor the number of deleted files.FIM_new: Monitor the number of new files found.
In addition, for each new, changed, or deleted file, log entries will be generated that may be viewed if log collection is enabled.
Integration with SIEM
FIM monitoring is also integrated with SIEM monitoring, as Pandora FMS incorporates decoders and rules for generating SIEM events by default (based on the log entries generated for log collection).