معرفی ماژول File Integrity Monitoring در Wazuh

همانطور که از نام آن مشخص است، این ماژول وظیفه‌ی نظارت بر یکپارچگی فایل ها را در راهکار Wazuh دارد.

همانطور که از نام آن پیداست، این ماژول وظیفه‌ی نظارت بر یکپارچگی فایل ها را دارد و با بررسی مداوم فایل ها و مسیرهای مختلف به محققان و کارشناسان امنیتی کمک می‌کند تا اگر تغییری بر روی یک سیستم اعم از تغییر محتوای یک فایل، حذف یک فایل و … رخ دهد، آنرا شناسایی و بررسی نمایند.
راهكار Wazuh به این صورت عمل می‌کند که در ابتدا، سایز فایل، مجوزها، مالک، زمان آخرین تغییر و هش ها (MD5، SHA1، SHA256) را با Scan اولیه در خود ذخیره می‌کند و هر بار تغییری رخ دهد، با بررسی دوباره، مواردی را که مقدار آنها عوض شده باشد را شناسایی کرده و گزارش می‌دهد.
زير ماژول هایی که FIM در Wazuh از آنها بهره می‌برد به شرح زیر می‌باشد:

Syscheck (Integrity Checking Process)
به طور پیشفرض این قسمت بر روی Wazuh فعال می‌باشد و به کمک آن می‌توان فایل ها و مسیرهای مورد نظر را تعریف کرد تا Wazuh آنها را Scan کند.

Configuring Scheduled Scan
 به کمک این بخش می‌توان برای Wazuh تعیین کرد که چه زمان هایی شروع به Scan کند.

Configuring Real-Time Monitoring
در این بخش می‌توان مسیرهایی را مشخص نمود تا به صورت Real-Time فرآیند Scanning بر روی آنها انجام شود تا تغییر هایی که در یک مسیر خاص اتفاق می‌افتد، با سرعت بالاتری شناسایی شوند.

Configuring Who-Data Monitoring
به کمک این قسمت می‌توان متوجه شد که کدام کاربر و کدام Account Name فایل های تحت نظارت را تغییر داده است و از چه برنامه یا پراسسی برای انجام این کار استفاده کرده است.

Configuring Reporting New File
این بخش به متخصصین امنیتی کمک می‌کند تا اگر در مسیرهای تحت نظارتی که از قبل مشخص شده، فایلی ایجاد شود، آن را شناسایی کنند.

Configuring Windows Registry
در Wazuh می‌توان مسیرهای رجیستری های مختلف را مشخص کرد و به کمک این ماژول، آنها را Scan نمود و به محض ایجاد تغییر در رجیستری های تحت نظارت، به تحلیل آنها پرداخت.

Configuring Report File And Registry Value Change
 همچنین Wazuh این قابلیت را دارد تا گزارش های متنی از تغییرات صورت گرفته در فایل ها یا رجیستری ها را تولید و ارائه دهد.

نویسنده: احمدرضا نوروزی

منبع: شرکت فناوری راه نو سورین