Imagina un servicio que monitorice cualquier cambio en tus ficheros y registros del sistema operativo, así como en tus aplicaciones u otro tipo de archivo para detectar cualquier indicio de ataque o infección… Esto existe y ya está disponible como preview en Azure Security Center.
FIM (Supervisión de Integridad de Archivo en español) utiliza el método de comparación para detectar variaciones entre el estado actual y el estado del anterior escaneo del archivo, de modo que nos puede ayudar a determinar si se trata de una modificación autorizada y segura, o de lo contrario, si estamos ante una modificación sospechosa.
La integración de FIM en Security Center garantiza la integridad de los archivos y registro de Windows, así como los archivos de Linux. Es tan sencillo como seleccionar los ficheros que deseamos tener monitorizados de manera granular activando FIM, y Security Center se encargará proveernos el control de:
- Creación y eliminación de archivos y registros.
- Modificación de archivos (cambios de tamaño, listas de control de acceso y hash del contenido)
- Modificaciones de registro (cambios de tamaño, listas de control, tipo de contenido, etc.)
FIM cuenta con sus propias políticas predefinidas para permitirnos una puesta en marcha del servicio de manera rápida y sencilla, pero también nos permite definir nuestras propias políticas o entidades para monitorizar. En este artículo te explicamos cómo hacerlo.
NOTA: FIM utiliza la solución Azure Change Tracking para rastrear e identificar cambios en nuestro entorno. Cuando FIM está habilitado, tenemos un recurso de Change Tracking de tipo Solución. Si eliminamos el recurso Change Tracking, se deshabilitará la función File Integrity Monitoring en Security Center.
¿Qué archivos debería monitorizar?
Cuando vayamos a elegir archivos para monitorizar, lo primero que debemos hacer es pensar en los archivos que son críticos para nuestro sistema y aplicaciones. Consideremos elegir archivos que no esperamos recibir cambios sin previa planificación, debemos tener en cuenta que elegir archivos de aplicaciones o Sistema Operativo que tienen cambios frecuentemente (como archivos de registro y texto) pueden generar mucho ruido y dificultarnos la identificación de un ataque.
El mismo Security Center nos recomendará qué archivos debemos supervisar de manera predeterminada según los patrones de ataques conocidos que incluyen cambios de archivo y registro.
Cómo utilizar FIM
- Nos vamos al dashboard de Azure Security Center
- En el menú izquierdo encontraremos Advanced Cloud Defense > File integrity monitoring
Tras acceder a FIM podremos ver información muy relevante por cada área de trabajo formado por equipos con Windows, Linux o máquinas virtuales. Información como el número de cambios detectados durante la última semana, o un guión si se encuentra deshabilitado. También nos indicará la cantidad de equipos o máquinas virtuales de cada área, ubicación geográfica y bajo qué suscripción de Azure se encuentra.
La última columna podemos encontrar unos botones que indican:
- Indica que FIM no se encuentra habilitado para esa área de trabajo. Para activarlo sólo tenemos que hacer clic sobre el botón.
- Indica que el área de trabajo está bajo la suscripción gratuita de Security Center, de modo que necesitaremos subir nuestra suscripción al plan Estándar. Desde aquí mismo podemos hacer el upgrade de plan. Más info sobre cómo subir los niveles de Security Center para mejorar la seguridad.
- Si no tenemos ninguno de los dos botones anteriores, significa que FIM ya está correctamente habilitado en el área de trabajo.
Activar FIM
Desde el mismo File Integrity Monitoring debemos pulsar sobre el botón Enable, y se nos abrirá una nueva vista donde podremos ver el número de máquinas con Windows y Linux, así como una serie de configuraciones recomendadas para esta área de trabajo.
Sobre las configuraciones recomendadas, podemos expandir “Archivos Windows, Registro y Archivos Linux” para ver la lista completa de recomendaciones. Estos ajustes los podrás cambiar en cualquier momento.
Desmarcamos el check de cualquier recomendación que no deseamos aplicar FIM, y pulsamos sobre “Enable File Integrity Monitoring”
Conozcamos el panel de FIM
El panel de control de FIM se nos mostrará sobre las áreas de trabajo con FIM habilitado. Al abrirlo, podremos ver un sencillo resumen de los equipos conectados al área de trabajo, pero si pulsamos sobre “Cambios”, veremos información más detallada de los siguientes puntos:
- Número total de máquinas conectadas al área de trabajo
- Número total de cambios que se han producido durante un periodo de tiempo determinado.
- Últimos 30 minutos, últimas 1, 6 ó 24 horas, o últimos 7 ó 30 días.
- Desglose de tipo de cambios (archivos, registros)
- Desglose de la categoría de cambio (modificado, añadido, eliminado)
También contamos con la opción de Búsqueda, la cual nos permitirá encontrar información de manera más exhaustiva, y si pulsamos sobre algún cambio, nos mostrará información más detallada. Por ejemplo, aquí vemos un cambio realizado en el registro:
Añadir, editar o eliminar una regla de monitorización
- Desde el panel de FIM, pulsamos sobre Settings (Configuración) en la parte superior, y se nos abrirá el Workspace Configuration, donde podremos añadir entidades de monitorización nuevas, o editar las ya existentes.
- Veremos tres pestañas Registros de Windows, Archivos de Windows y Archivos de Linux. Pulsemos la pestaña sobre la que queremos añadir una nueva entidad, y luego pulsamos en Add (Añadir).
- Ahora sólo debemos completar los campos con la información solicitada, algunos son campos requeridos. Vamos a mostrar dos ejemplos, Windows Registry y Linux Files.
Es importante que recordemos cómo hemos llegado hasta ahí, ya que si deseamos eliminar, editar o simplemente deshabilitar una de estas reglas, debemos hacerlo justo ahí.
Así de sencillo es como lograremos ese plus de seguridad en nuestras máquinas Windows y Linux, dónde en todo momento podremos tener controlada la integridad de nuestros archivos de Windows y Linux, así como los registros de Windows.