文件完整性监控（FIM）

文件完整性监控是一项功能，可帮助您监控在 Windows 和 Linux 系统中文件和文件夹所做的所有更改（添加/删除/修改）。

Linux FIM 代理架构：

要安装软件包，请在此处查看语法。

文件完整性监控的先决条件

Windows：

• 当您为 Windows 启用文件完整性监控时，文件服务器上将自动启用某些访问策略。如果您的域中存在覆盖审核策略的 GPO，请按照以下步骤手动启用相应策略
• 在管理员命令提示符中输入命令：auditpol/get/category:"Object Access"
• 然后启用以下访问策略
• 审计文件共享
• 审计文件系统
• 审核句柄操作
• 文件共享详细审计
• 审核其他对象访问事件。
• 应为受监控的文件或文件夹启用 SACLs。产品会自动启用它们。如果未启用，请使用以下权限手动更新 SACLs (查看方法)
• 执行文件/遍历文件夹
• 写入数据/创建文件
• 追加数据/创建文件夹
• 写入属性
• 写入扩展属性
• 删除子文件夹和文件
• 删除读取权限
• 更改权限
• 主动承担责任

Linux：

• 应在代理主机上安装以下软件包
  • openssh-server [用于与用户界面相关的操作]
  • auditd
  • acl
• 请确保：
  • SSH 端口（默认端口 22）可从Server访问。
  • ELA Server 端口（默认端口 8400）可从代理机器访问。

要验证某个端口是否可达，可以使用以下命令：

复制到剪贴板

echo > /dev/tcp/[Server 主机名/IP]/[Server 端口] && echo "端口可达"

示例: echo > /dev/tcp/ubuntu/8400 && echo "端口可达"

(或)

复制到剪贴板

telnet [Server 机器主机名/IP] [Server 端口]

示例: telnet ubuntu 8400

• 还要确保以下内容：
  • Linux 内核版本为 2.6.25 或更高
  • Linux 审计框架版本高于 1.8
• 如果已启用，请从 /etc/audit/audit.rules 文件中移除以下规则，然后重启机器。
  • 系统调用阻止规则，“-a never,task”，以及
  • 不可变规则，“-e 2”。
• 如果您正在为 SUSE 机器启用审计，请设置以下规则：
  • 导航到 /etc/sysconfig/auditd
  • 将 AUDITD_DISABLE_CONTEXTS 设置为 no
• 如果存在安全增强型 Linux（SELinux），则必须处于宽容模式（permissive）或禁用状态：
  • 使用命令：getenforce 检查 SELinux 状态。
  • 如果状态为“Enforced”，前往 file/etc/selinux/config 并进行如下编辑：SELINUX = permissive。
  • 重启机器。

由于 auditd 需要 root 或 sudo 权限，如果用户没有这些权限，请按照获取权限的步骤进行操作。

安装 FIM 代理所需权限：

1. 将 AgentManager 添加到 Sudoers 文件。
2. 创建一个目录并为其分配权限。

1. 将 AgentManager 添加到 sudoers 文件：

要让非 sudo 用户以 sudo 权限运行 AgentManager，请按照以下说明操作：

• 使用 root 用户来配置权限。
• 请执行以下命令：
  复制到剪贴板

  visudo -f /etc/sudoers.d/<username>

• 将以下行添加到 sudoers 文件：
  复制到剪贴板

  <username> ALL=NOPASSWD: /opt/ManageEngine/EventLogAnalyzer_Agent/bin/AgentManager *

  示例：

  1. visudo -f /etc/sudoers.d/testuser
  2. testuser ALL=NOPASSWD: /opt/ManageEngine/EventLogAnalyzer_Agent/bin/AgentManager *

在 Sudoers 文件中添加 AgentManager 的原因：

以下操作需要 sudo 权限：

• 将 Agent 目录和 elafim.conf 文件[位于 audit [或] audisp 目录下]的所有权转移给 root 用户。
• 重新启动 auditd 服务也可能需要 root 权限。

2. 创建一个目录并为其授予权限

为防止除 ManageEngine 之外的目录遭到未授权访问，请以 root 身份为无 sudo 权限的用户执行以下命令。

创建目录：

复制到剪贴板

mkdir /opt/ManageEngine/

授予目录权限：

复制到剪贴板

setfacl -m u:<username>:rwx /opt/ManageEngine/

适用于 CentOS/RHEL v8 及更高版本/Ubuntu/openSUSE/Debian/Fedora：

复制到剪贴板

setfacl -m u:<username>:wx /etc/audit/ /etc/audit/plugins.d/

适用于 CentOS/RHEL v6 至 v7.9：

复制到剪贴板

setfacl -m u:<username>:wx /etc/audisp/ /etc/audisp/plugins.d/

为 audit.rules 授予权限：

复制到剪贴板

setfacl -m u:<username>:r /etc/audit/audit.rules

示例: setfacl -m u:testuser:rwx /opt/ManageEngine/

配置文件完整性监控

要配置文件完整性监控，请前往

• 前往 设置 > 配置 > 管理 文件完整性监控。
• 根据您希望监控的文件和文件夹所在的设备，单击 Windows 或 Linux 选项卡。
• 单击添加 FIM。
• 选择文件/文件夹所在的设备，输入正确的凭据，浏览并选择您希望监控的文件和文件夹。或者，您可以输入文件/文件夹的位置。

• 该排除过滤器 为您提供排除以下内容的选项
  1. 特定文件类型。
  2. 主位置内的特定子位置。
  3. 主位置内的所有子位置。
• 如果您想知道是谁对文件或文件夹进行了更改，请选中审计用户名 复选框。
注意： 在 Linux 设备上，用户名默认会被审计。
• 单击配置。

配置批量文件完整性监控

如果需要将位于多个设备上的相同文件和文件夹添加到监控中，可以使用批量文件完整性监控功能。

• 前往 设置 > 配置 > 管理 文件完整性监控。
• 根据您希望监控的文件和文件夹所在的设备，单击Windows或Linux 选项卡。
• 单击 添加 FIM。 在右上角选择 配置多个设备。
• 选择文件/文件夹所在的设备，输入正确的凭据，并选择文件模板。

• 单击 配置。

管理文件完整性监控（FIM）模板

若需要在多台设备上监控相同的文件或文件夹，可以创建一个模板并将其分配给这些设备。要创建 FIM 模板，请按以下步骤进行：

• 导航至 设置 > 配置 > 管理文件完整性监控 > FIM 模板。
• 根据您希望监控的文件和文件夹所在的设备，单击 Windows 或 Linux 选项卡。
• 点击 添加 FIM。
• 输入模板名称，并选择文件和文件夹的位置。

或者，您可以输入文件/文件夹的位置。

• 排除过滤器为你提供一个排除选项

1. Certain file types.
2. Certain sub-locations within the main location.
3. All sub-locations within the main location.

所有已创建的模板都会以表格形式列出，并提供编辑/删除选项。