鱼翅的建议
文件完整性监测(FIM)允许您在Windows系统运行代理版本2.5.3.8或更高版本上审核对关键文件和文件夹的更改。启用FIM时,只能监视特定的扩展集,以防止数据收集过载在Insight Agent和InsightIdr上。必威体育app登录应用程序或操作系统经常更改的文件(如日志文件)是“嘈杂”,并且难以识别攻击,因为它们产生过多的事件。
InsightIDR允许您监控以下扩展:
- 。bat
- . cfg
- .conf.
- config
- . dll
- 。可执行程序
- . ini
- .sys.
InsightIDR将“忽略”您为监视配置的任何其他文件,这些文件不具有允许的扩展名之一。但是,如果您确定组织需要某些文件扩展名,则可以请求允许它们。要请求扩展允许列表,联络支持.
FIM关闭警告
在不太可能的事件中,您向FIM发送太多数据,Rapid7将与您联系以达到可友好的解决方案。如果您没有响应,Rapid7保留关闭FIM传输到Insight平台的权利。dota2必威联赛
FIM考虑因素
当您监视更多的文件和文件夹时,CPU占用率将按比例增加。
请勿监控所有可用的文件事件。回想一下,InsightIdr FIM仅监视以下事件,并将忽略Insight代理的所有其他事件:必威体育app登录
- 创建文件/写入数据
- 创建文件夹/附加数据
- 删除子文件夹和文件
- 删除
监测建议
FIM的目的是追踪和审核仅在关键系统上的关键业务文件中的文件修改。Rapid7建议不递归监视C:\。
Rapid7建议监控Windows Microsoft关键系统文件,其中包括:
- C: \ autoexec.bat
- C: \ ini
- C: \ config.sys
- C:\Program Files\Microsoft安全客户端\msseces.exe
- C:\Windows\资源管理器
- C:\ Windows \ Regedit.exe
- C:\ Windows \ System.ini
- C:\ Windows \ System32 \ UserInit.exe
- C:\Windows\win.ini
这个页面对你有帮助吗?