Monitoreo de integridad de archivos de funciones Wazuh

El sistema de monitoreo de integridad de archivos (FIM) de Wazuh monitorea los archivos seleccionados y activa alertas cuando estos archivos se modifican. El componente responsable de esta tarea se llama syscheck. Este componente almacena sumas de verificación criptográficas y otras propiedades de archivos en buen estado o claves de registro de Windows y los compara periódicamente con los archivos actuales utilizados por el sistema para ver los cambios.

1. Principio de funcionamiento

1. El agente Wazuh escanea el sistema y envía las sumas de verificación y los atributos de los archivos monitoreados y las claves de registro de Windows al administrador de Wazuh. Las siguientes opciones son configurables:

(1) Frecuencia: de forma predeterminada, syscheck se ejecuta cada 12 horas.

(2) Monitoreo en tiempo real: Wazuh admite el monitoreo de integridad de archivos en tiempo real en servidores que ejecutan Windows o Linux (Solaris no es compatible con Inotify, por lo que el sistema no está disponible). Tenga en cuenta que la opción en vivo solo se puede utilizar para directorios, no para archivos individuales.

(3)Whodata: esta función funciona en tiempo real y también proporciona información sobre quién desencadenó el evento.

2.Wazuh manager almacena las sumas de verificación y los atributos de los archivos monitoreados y encuentra modificaciones comparando valores nuevos y antiguos.

Wazuh Manager almacena sumas de verificación y atributos de archivos monitoreados y busca alertas generadas cuando se detectan cambios en archivos monitoreados y/o claves de registro.

Puedes resolver falsos positivos utilizando la opción de configuración ignorar o creando una regla que enumere los archivos para excluir de las alertas FIM.

Ejemplo de alertas generadas por FIM: