همانطور که از نام آن پیداست، این ماژول وظیفهی نظارت بر یکپارچگی فایل ها را دارد و با بررسی مداوم فایل ها و مسیرهای مختلف به محققان و کارشناسان امنیتی کمک میکند تا اگر تغییری بر روی یک سیستم اعم از تغییر محتوای یک فایل، حذف یک فایل و … رخ دهد، آنرا شناسایی و بررسی نمایند.
راهكار Wazuh به این صورت عمل میکند که در ابتدا، سایز فایل، مجوزها، مالک، زمان آخرین تغییر و هش ها (MD5، SHA1، SHA256) را با Scan اولیه در خود ذخیره میکند و هر بار تغییری رخ دهد، با بررسی دوباره، مواردی را که مقدار آنها عوض شده باشد را شناسایی کرده و گزارش میدهد.
زير ماژول هایی که FIM در Wazuh از آنها بهره میبرد به شرح زیر میباشد:
Syscheck (Integrity Checking Process)
به طور پیشفرض این قسمت بر روی Wazuh فعال میباشد و به کمک آن میتوان فایل ها و مسیرهای مورد نظر را تعریف کرد تا Wazuh آنها را Scan کند.
Configuring Scheduled Scan
به کمک این بخش میتوان برای Wazuh تعیین کرد که چه زمان هایی شروع به Scan کند.
Configuring Real-Time Monitoring
در این بخش میتوان مسیرهایی را مشخص نمود تا به صورت Real-Time فرآیند Scanning بر روی آنها انجام شود تا تغییر هایی که در یک مسیر خاص اتفاق میافتد، با سرعت بالاتری شناسایی شوند.
Configuring Who-Data Monitoring
به کمک این قسمت میتوان متوجه شد که کدام کاربر و کدام Account Name فایل های تحت نظارت را تغییر داده است و از چه برنامه یا پراسسی برای انجام این کار استفاده کرده است.
Configuring Reporting New File
این بخش به متخصصین امنیتی کمک میکند تا اگر در مسیرهای تحت نظارتی که از قبل مشخص شده، فایلی ایجاد شود، آن را شناسایی کنند.
Configuring Windows Registry
در Wazuh میتوان مسیرهای رجیستری های مختلف را مشخص کرد و به کمک این ماژول، آنها را Scan نمود و به محض ایجاد تغییر در رجیستری های تحت نظارت، به تحلیل آنها پرداخت.
Configuring Report File And Registry Value Change
همچنین Wazuh این قابلیت را دارد تا گزارش های متنی از تغییرات صورت گرفته در فایل ها یا رجیستری ها را تولید و ارائه دهد.
نویسنده: احمدرضا نوروزی
منبع: شرکت فناوری راه نو سورین
