Baseline Monitoring
基线
基线包括对系统的某些部分进行快照,以便将来与之进行比较以突出变化。
例如,您可以计算并存储文件系统中每个文件的哈希值,以便找出哪些文件已被修改。 还可以对创建的用户帐户、运行的进程、运行的服务以及任何其他不应该或根本不应该发生太多变化的事物进行此操作。
文件完整性监控
文件完整性监控(FIM)是一种关键的安全技术,通过跟踪文件的更改来保护IT环境和数据。它包括两个关键步骤:
基线比较: 使用文件属性或加密校验和(如MD5或SHA-2)建立基线,以便将来进行比较以检测修改。
实时更改通知: 当文件被访问或更改时立即收到警报,通常通过操作系统内核扩展。
工具
参考资料
最后更新于