鱼翅的建议

文件完整性监测(FIM)允许您在Windows系统运行代理版本2.5.3.8或更高版本上审核对关键文件和文件夹的更改。启用FIM时,只能监视特定的扩展集,以防止数据收集过载在Insight Agent和InsightIdr上。必威体育app登录应用程序或操作系统经常更改的文件(如日志文件)是“嘈杂”,并且难以识别攻击,因为它们产生过多的事件。

InsightIDR允许您监控以下扩展:

  • 。bat
  • . cfg
  • .conf.
  • config
  • . dll
  • 。可执行程序
  • . ini
  • .sys.

InsightIDR将“忽略”您为监视配置的任何其他文件,这些文件不具有允许的扩展名之一。但是,如果您确定组织需要某些文件扩展名,则可以请求允许它们。要请求扩展允许列表,联络支持

FIM关闭警告

在不太可能的事件中,您向FIM发送太多数据,Rapid7将与您联系以达到可友好的解决方案。如果您没有响应,Rapid7保留关闭FIM传输到Insight平台的权利。dota2必威联赛

FIM考虑因素

当您监视更多的文件和文件夹时,CPU占用率将按比例增加。

请勿监控所有可用的文件事件。回想一下,InsightIdr FIM仅监视以下事件,并将忽略Insight代理的所有其他事件:必威体育app登录

  • 创建文件/写入数据
  • 创建文件夹/附加数据
  • 删除子文件夹和文件
  • 删除

监测建议

FIM的目的是追踪和审核仅在关键系统上的关键业务文件中的文件修改。Rapid7建议不递归监视C:\。

Rapid7建议监控Windows Microsoft关键系统文件,其中包括:

  • C: \ autoexec.bat
  • C: \ ini
  • C: \ config.sys
  • C:\Program Files\Microsoft安全客户端\msseces.exe
  • C:\Windows\资源管理器
  • C:\ Windows \ Regedit.exe
  • C:\ Windows \ System.ini
  • C:\ Windows \ System32 \ UserInit.exe
  • C:\Windows\win.ini