Imagina un servicio que monitorice cualquier cambio en tus ficheros y registros del sistema operativo, así como en tus aplicaciones u otro tipo de archivo para detectar cualquier indicio de ataque o infección… Esto existe y ya está disponible como preview en Azure Security Center.
FIM (Supervisión de Integridad de Archivo en español) utiliza el método de comparación para detectar variaciones entre el estado actual y el estado del anterior escaneo del archivo, de modo que nos puede ayudar a determinar si se trata de una modificación autorizada y segura, o de lo contrario, si estamos ante una modificación sospechosa.
La integración de FIM en Security Center garantiza la integridad de los archivos y registro de Windows, así como los archivos de Linux. Es tan sencillo como seleccionar los ficheros que deseamos tener monitorizados de manera granular activando FIM, y Security Center se encargará proveernos el control de:
FIM cuenta con sus propias políticas predefinidas para permitirnos una puesta en marcha del servicio de manera rápida y sencilla, pero también nos permite definir nuestras propias políticas o entidades para monitorizar. En este artículo te explicamos cómo hacerlo.
NOTA: FIM utiliza la solución Azure Change Tracking para rastrear e identificar cambios en nuestro entorno. Cuando FIM está habilitado, tenemos un recurso de Change Tracking de tipo Solución. Si eliminamos el recurso Change Tracking, se deshabilitará la función File Integrity Monitoring en Security Center.
Cuando vayamos a elegir archivos para monitorizar, lo primero que debemos hacer es pensar en los archivos que son críticos para nuestro sistema y aplicaciones. Consideremos elegir archivos que no esperamos recibir cambios sin previa planificación, debemos tener en cuenta que elegir archivos de aplicaciones o Sistema Operativo que tienen cambios frecuentemente (como archivos de registro y texto) pueden generar mucho ruido y dificultarnos la identificación de un ataque.
El mismo Security Center nos recomendará qué archivos debemos supervisar de manera predeterminada según los patrones de ataques conocidos que incluyen cambios de archivo y registro.
Tras acceder a FIM podremos ver información muy relevante por cada área de trabajo formado por equipos con Windows, Linux o máquinas virtuales. Información como el número de cambios detectados durante la última semana, o un guión si se encuentra deshabilitado. También nos indicará la cantidad de equipos o máquinas virtuales de cada área, ubicación geográfica y bajo qué suscripción de Azure se encuentra.
La última columna podemos encontrar unos botones que indican:
Desde el mismo File Integrity Monitoring debemos pulsar sobre el botón Enable, y se nos abrirá una nueva vista donde podremos ver el número de máquinas con Windows y Linux, así como una serie de configuraciones recomendadas para esta área de trabajo.
Sobre las configuraciones recomendadas, podemos expandir “Archivos Windows, Registro y Archivos Linux” para ver la lista completa de recomendaciones. Estos ajustes los podrás cambiar en cualquier momento.
Desmarcamos el check de cualquier recomendación que no deseamos aplicar FIM, y pulsamos sobre “Enable File Integrity Monitoring”
El panel de control de FIM se nos mostrará sobre las áreas de trabajo con FIM habilitado. Al abrirlo, podremos ver un sencillo resumen de los equipos conectados al área de trabajo, pero si pulsamos sobre “Cambios”, veremos información más detallada de los siguientes puntos:
También contamos con la opción de Búsqueda, la cual nos permitirá encontrar información de manera más exhaustiva, y si pulsamos sobre algún cambio, nos mostrará información más detallada. Por ejemplo, aquí vemos un cambio realizado en el registro:
Es importante que recordemos cómo hemos llegado hasta ahí, ya que si deseamos eliminar, editar o simplemente deshabilitar una de estas reglas, debemos hacerlo justo ahí.
Así de sencillo es como lograremos ese plus de seguridad en nuestras máquinas Windows y Linux, dónde en todo momento podremos tener controlada la integridad de nuestros archivos de Windows y Linux, así como los registros de Windows.
Este sitio web utiliza cookies para que tengas la mejor experiencia de usuario. Si continuas navegando, estás dando tu consentimiento para aceptar las cookies y también nuestra política de cookies (esperemos que no te empaches con tanta cookie 😊)