File Integrity Monitor (FIM) - Example of file integrity monitoring

Descrição

Script em PowerShell com o objetivo de realizar o monitoramento da integridade de arquivos. Demonstração do pilar da integridade na segurança da informação e possibilidade de por meio de alertas, detectar comprometimento de arquivos, facilitando sua investigação.

Após a execução, é fornecido ao usuário a opção de gerar um novo arquivo de monitoramento ou passar a escutar(monitorar) um existente. A primeira opção, realiza um check na pasta Files e após verificar os arquivos, armazena o caminho do arquivo e gera um hash (com a utilização da função hash SHA 512). A segunda opção, passa a verificar o arquivo em execução continua, reportando mensagens para o usuário de acordo com o que foi realizado.

Principais pontos do projeto:

• Desenvolvimento de script PowerShell personalizado, gerando algoritmos de hash com o objetivo de monitorar a integridade de arquivos e pastas.
  
  
• Utilização de função hash SHA 512.
  
  
• Criação de arquivo txt com caminhos e respectivos hashes de arquivos para possibilitar o monitoramento, em caso de já existir um arquivo com essas informações o script exclui o existente e cria um novo arquivo para evitar a duplicidade.
  
  
• Comparação continua de arquivos/pastas vs baseline, retornando alertas se qualquer mudança for detectada.
  
  
• Emite alertas enquanto em execução das alterações relacionadas aos arquivos como: inclusão, exclusão e alteração. Possibilitando uma investigação mais aprofundada do comprometimento
  
  

Monitoramento:

- Vermelho/Cinza: Arquivos deletados.

- Amarelo: Arquivos modificados.

- Verde: Arquivos criados.

Linguagens

• PowerShell: Script para verificar e monitorar a integridade de arquivos através de função hash (SHA 512)