目錄

隨著現代IT基礎架構的複雜性增加，系統中的檔案變更可能成為潛在的安全威脅，特別是在主要系統檔案被修改或權限異常更改的情況下。Wazuh提供了一個開源的安全監控解決方案，其中File Integrity Monitoring (FIM)功能可以自動檢測檔案的變動，並發送即時警報。目的主要研究如何通過設置Wazuh FIM警報，來監控關鍵目錄和檔案的完整性，並測試其應用效果和性能，以保護系統不被未授權的變更影響。

官網範例教學連結: https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/index.html

研究過程：

1.  Wazuh系統的研究：研究Wazuh的整體架構，特別是其中的FIM功能如何進行檔案監控。查閱官方文件，了解如何配置FIM、定義監控範圍及設定掃描頻率。

2. 設置Wazuh伺服器及代理：在實驗環境中搭建Wazuh伺服器，並將代理安裝在目標主機上。進行基礎設定，確保主機的關鍵檔案及目錄都能夠被正確監控。

3. FIM配置與測試：設置FIM配置檔，設定檔案監控範圍、排除項目及掃描頻率，進行三個Proof of Concept (POC)測試，包括檔案內容修改、檔案新增跟刪除的偵測。

實作過程：

1.  配置Wazuh伺服器及代理以監控目標目錄。

2. 實施POC測試來驗證FIM的監控效果。

3. 調整掃描頻率，測試即時監控對系統效能的影響。

分工：

• 李冠伯：Wazuh環境搭建、FIM設定、測試及報告撰寫。

經過三個POC測試，Wazuh FIM成功檢測到以下情況：

1.  檔案內容修改：成功偵測到檔案有修改紀錄。

2. 檔案新增/刪除：新增跟刪除測試檔案，Wazuh FIM能夠即時偵測檔案新增/刪除事件。

這些檢測結果證明Wazuh FIM能夠有效監控系統中的重要檔案，並發出警報提醒管理員處理。

• 結論：

透過這次實作，Wazuh的FIM功能可以有效檢測系統中重要檔案的完整性變動。雖然Wazuh預設的掃描時間間隔可能導致檔案變更的延遲偵測，但透過即時監控可以彌補這一點。這也伴隨著性能開銷的問題，因此需要在實際部署中進行適當調整，根據具體場景選擇合適的監控方式。

• 心得：

FIM是一個相對簡單但非常實用的工具，在維護系統檔案完整性和安全性方面起著重要作用。整體配置與測試過程相對直觀，但在大規模系統中，需要仔細考慮其對效能的影響以及警報疲勞的問題。

• 後續研究方向：

1. 即時監控的效能優化：研究如何在保持即時監控的前提下，最大化減少系統資源的消耗，確保系統性能穩定。

2. 進階的檔案變更分析：探索如何通過日誌分析，結合機器學習模型來進一步自動化判別惡意軟體攻擊或異常新增刪除。

檔案完整性監控（FIM）是一種資安控制過程，用於監控系統和應用程式檔案的完整性。

FIM 是監控敏感檔案的重要安全防禦層，它通過監控、定期掃描和驗證檔案的完整性，為敏感數據、應用程式和設備檔案提供保護，同時檢測系統中關鍵檔案的變更，從而降低數據被盜或遭到破壞的風險。透過這樣的過程可以節省因生產力損失、收入損失、聲譽損害以及法律和監管合規罰款，而造成的時間和金錢。

Wazuh 具有內建的檔案完整性監控能力，由Wazuh FIM 模組監控檔案和目錄，並在用戶或程式創建、修改或刪除被監控的檔案時觸發警報。
它執行基準掃描，存儲被監控檔案的加密校驗和及其他屬性，當使用者或程式更改檔案時，該模組將其校驗和及屬性與基準進行比較。
如果發現不匹配，則會觸發警報。根據代理和管理者的 FIM 配置，FIM 模組執行實時和定期掃描。

Wazuh FIM 功能的包括檔案變更管理、威脅偵測和回應以及法規遵循：

• 檔案變更管理

Wazuh FIM 功能是驗證變更管理流程是否正常運作的重要工具。此 Wazuh 功能可讓您檢查檔案以查看它們是否已更改、更改方式和時間以及更改者或更改內容。 Wazuh FIM 模組將基準資訊與檔案最新版本的資訊進行比較。透過這種比較，可以了解關鍵文件的變更和更新。例如，您可以使用它來偵測對應用程式的錯誤更新或對設定檔進行的未經授權的變更。

• 威脅偵測和回應

您可以將 FIM 與其他 Wazuh 功能結合進行威脅偵測和回應。 FIM 功能監視檔案完整性、偵測權限變更以及監視使用者和檔案活動。它提供詳細的警報，以便快速回應檢測到的威脅。

• 監理合規性

FIM 功能可協助組織滿足資料安全、隱私和資料保留的監管要求。監控關鍵文件的變更是 PCI DSS、HIPAA 和 GDPR 等法規的重要要求。