Subscribe to our Newsletter!
By subscribing to our newsletter, you agree with our privacy terms
Home > Revisiones de software > Las 10 principales herramientas de monitoreo de integridad de archivos en 2023 comparadas
marzo 05, 2023
Imagina que, mientras estás leyendo este artículo, una amenaza desconocida se está abriendo paso lentamente a través de tu infraestructura informática, cambiando y corrompiendo archivos, poco a poco. Al principio, puede que notes un extraño error de lectura aquí, un archivo que falta allá. Desconcertante, pero no alarmante. Pero cuando por fin se da cuenta de la magnitud del problema, ya es demasiado tarde: muchas máquinas ni siquiera arrancan y el 30 % de los datos de su red han desaparecido.
¿Cuál sería su primera reacción? ¿Preocuparse por el hardware? Por supuesto que no. Le preocuparían los datos almacenados en los archivos de esos ordenadores: ¿hay copias de seguridad? ¿Están actualizadas? ¿En cuánto tiempo pueden restaurarse para que el funcionamiento vuelva a la normalidad?
Este ejercicio de reflexión ilustra la importancia de los archivos: contienen datos de usuarios, registros de soporte al cliente, planes de negocio, diseños de productos, parámetros de configuración, información financiera y de empleados y mucho más. Son esenciales y, como tales, hay que vigilarlos y protegerlos. Hay que hacer un seguimiento de los cambios y detectar los accesos no autorizados.
Esta necesidad dio lugar a las herramientas de Monitoreo de Integridad de Archivos (FIM, en inglés File Integrity Monitoring), que son un activo valioso para ayudarle a prevenir, diagnosticar y resolver una amplia variedad de problemas. En este artículo, presentaremos algunas de las muchas opciones disponibles, y esperamos ayudarle a elegir la mejor para sus necesidades.
En general, todas las herramientas de monitoreo de integridad de archivos funcionan estableciendo una “línea de base” para un archivo (o grupo de archivos), y haciendo sonar la alarma cada vez que esas características, como el tamaño del archivo, el contenido o la hora/fecha de acceso, entre otros atributos, cambian.
Algunos pueden hacer “matching de contenido” y tomar una acción especial (es decir, disparar una alerta personalizada) si el contenido del archivo coincide con un patrón dado (como la palabra “Error” que aparece en un archivo de registro). Otros pueden incluir reglas de privilegio de acceso de usuario y solo hacer sonar la alarma si el archivo fue accedido o modificado por un usuario no autorizado.
Sea cual sea su naturaleza, las herramientas FIM se han convertido en una parte esencial de toda infraestructura informática, independientemente de su tamaño. En algunos casos, son incluso un requisito para obtener el cumplimiento de muchas normas de seguridad.
Se nos ocurren 5 razones para invertir en herramientas de monitoreo de integridad de archivos:
En nuestra opinión, hay cinco características principales que debe tener en cuenta a la hora de elegir una herramienta de monitoreo de integridad de archivos. Éstas son:
Hay muchos tipos de herramientas de monitoreo de integridad de archivos, de otros tantos proveedores diferentes. A continuación presentamos algunas de ellas, sin ningún orden en particular.
Paessler PRTG es una herramienta de monitoreo todo-en-uno que puede monitorear todo, desde la integridad de los archivos en sus máquinas locales hasta toda su infraestructura en la nube. PRTG se basa en elementos básicos de monitoreo llamados “sensores”. Un sensor suele monitorear un valor medido en su red, por ejemplo, el tráfico de un puerto de conmutación, la carga de la CPU de un servidor, el espacio libre en una unidad de disco, etc.
Hay tres sensores principales para el monitoreo de integridad de archivos en PRTG. El primero es el File Sensor, que puede monitorear un solo archivo, informar si existe o no, y alertar si su contenido o marca de tiempo han cambiado. El File Content Sensor se puede utilizar para la comparación de contenido: por ejemplo, alertar si la palabra “Error” ha aparecido en un archivo de registro. Por último, pero no por ello menos importante, el Folder Sensor puede monitorear carpetas enteras, y descender a sub carpetas si se desea.
La información recopilada por la herramienta se ofrece en un panel centralizado con todas las métricas relevantes. Puedes establecer alertas personalizables en función de los valores umbral, y existe una función de elaboración automática de informes, para que puedas mantener informados a la dirección y a los compañeros de trabajo.
Paessler PRTG se ejecuta en máquinas Windows (que ejecutan Windows 11 o Windows Server 2012 R2, 2016, 2019 o 2022), pero puede monitorear remotamente máquinas que ejecutan otros sistemas operativos como Linux o macOS. Hay una evaluación gratuita de 30 días, con todas las funciones disponibles durante este período, sin necesidad de tarjeta de crédito.
OSSEC es un sistema de detección de intrusiones basado en host (HIDS, en inglés Host-based Intrusion Detection System) de código abierto, escalable y multiplataforma. Entre sus numerosas funciones se incluyen la detección de intrusiones basada en registros (LID, en inglés Log based Intrusion Detection), la detección de rootkits y malware, el inventario de sistemas y las herramientas de auditoría de conformidad y, por supuesto, el monitoreo de integridad de archivos (FIM).
El módulo FIM puede monitorear tanto archivos como configuraciones del registro de Windows en tiempo real. No solo detecta cambios en el sistema, sino que también mantiene una copia forense de los datos a medida que cambian con el tiempo, lo que puede ser útil para diagnosticar la causa de dichos cambios.
Existen tres versiones de OSSEC. La “básica”, llamada simplemente OSSEC, ya incluye una herramienta FIM y es gratuita. Luego está OSSEC+, que también es gratuita (con registro) y añade funciones como aprendizaje automático, cifrado PKI, una pila ELK (Elasticsearch, Logstash y Kibana), Community Threat Sharing en tiempo real, “1000 s” de nuevas reglas y mucho más.
Por último, pero no por ello menos importante, está “Atomic OSSEC”, orientado a grandes empresas, que añade una enorme lista de funciones, entre ellas “agrupación en clústeres, gestión de agentes, elaboración de informes, seguridad, gestión de vulnerabilidades e integración con terceros y funciones de compliance”. El precio se basa en el número de agentes.
El servidor OSSEC se ejecuta en Linux (Fedora, CentOS, Red Hat Enterprise Linux, Amazon Linux, Ubuntu, Debian), pero los agentes pueden desplegarse en máquinas que ejecuten muchas distribuciones de Linux, Open/Free/NetBSD, Solaris, AIX, HP-UX, macOS y Windows (XP, Vista y Server 2003, 2008 y 2012).
Trustwave Endpoint Protection incluye un módulo de monitoreo de integridad de archivos que ” supervisa el sistema local de un host en busca de cambios en los archivos, directorios y configuraciones de registro especificados para detectar modificaciones ilícitas […] Cualquier cambio se notifica a un servidor, mientras que las firmas del análisis actual se guardan en una caché local para su uso futuro”.
La información recopilada por los agentes que se ejecutan en los equipos monitorizados puede agruparse y mostrarse en un panel de varias maneras. Por ejemplo, los cambios pueden agruparse por agente, con filtros para ocultar los agentes que no han notificado ningún cambio o para mostrar solamente los eventos críticos o de alta gravedad. También es posible mostrar el volumen de eventos en los últimos 30 días, en forma de gráfico de barras verticales, con un desglose por tipo de evento o limitándose a un intervalo de fechas específico.
Al hacer clic en un suceso, aparece un menú de “detalles” en la parte inferior de la página, que muestra el ID del suceso, el tipo, la dirección IP de origen, el sistema operativo, la hora, la prioridad, la fuente y la descripción. Todos los datos pueden exportarse como hoja Excel, PDF, CSV o HTML. Las alertas se envían por correo electrónico, con frecuencia y gravedad personalizables.
Según Trustwave, el módulo de monitoreo de integridad de archivos puede proporcionarse a clientes con sistemas operativos Windows o Linux. No parece haber disponible una versión de evaluación de esta herramienta, pero los clientes pueden solicitar una demostración en el sitio web de Trustwave.
Falcon FileVantage forma parte de una plataforma de soluciones de ciberseguridad ofrecida por CrowdStrike. Según el fabricante, “cumple con PCI, CIS Controls, Sarbanes-Oxley Act y otros organismos reguladores para satisfacer los requisitos de monitoreo”.
Esta herramienta permite a su personal informático ver las modificaciones no autorizadas de todos los archivos relevantes del sistema, de configuración y de contenido, obtener visibilidad instantánea de todas las carpetas críticas y cambios en el registro y mantener la integridad de los hosts con un monitoreo activo y continuo. Las políticas predefinidas y personalizadas prometen ayudarle a reducir la fatiga por alertas y ganar en eficiencia.
Los cambios en archivos, carpetas y registros pueden correlacionarse con las detecciones activas, y existe integración con Falcon Intelligente, un sistema de inteligencia de amenazas que rastrea más de 130 perfiles de amenazas relacionados con adversarios del Estado-nación, la delincuencia electrónica y los hacktivistas. De este modo, su equipo no solo puede saber que se ha producido un ataque, sino también quién está probablemente detrás de él y tomar rápidamente medidas para remediarlo.
Falcon FileVantage es compatible con los sistemas operativos Windows, Linux y macOS. Hay disponible una evaluación gratuita de 15 días en el sitio web de CrowdStrike.
SolarWinds Security Event Manager (SEM), es una solución SIEM (Security Information and Event Management) que incluye informes de cumplimiento, análisis de inteligencia de ciberamenazas, respuesta automatizada a incidentes, análisis forense y monitoreo de integridad de archivos.
El módulo FIM está diseñado para monitorear cambios en archivos, carpetas y configuraciones de registro. Los eventos de auditoría del sistema, Active Directory y archivos pueden correlacionarse fácilmente para obtener información sobre qué usuario fue el responsable de acceder y cambiar un archivo e identificar las actividades de otros usuarios que se produjeron antes y después del cambio de archivo.Los eventos de auditoría de archivos también pueden correlacionarse con los registros de herramientas antivirus e IDS/IPS (Sistema de detección de intrusiones/Sistema de prevención de intrusiones) para detectar fácilmente las amenazas persistentes avanzadas (APT) y el malware común. También es posible establecer disparadores para eliminar procesos maliciosos o incluso poner en cuarentena sistemas enteros para proteger el resto de la red.
SEM también puede utilizarse para generar informes de cumplimiento de normas industriales como PCI-DSS, SOX, HIPAA, NERC CIP, FISMA y SANS Critical Security Controls, entre otras.
El servidor SolarWinds Security Event Manager (SEM) se ejecuta en Linux y puede ejecutarse dentro de una máquina virtual, una instancia de Microsoft Azure o Amazon AWS. El agente se ejecuta en Windows (8, 10 u 11), Windows Server (2008 R2, 2012, 2016, 2019 o 2022), Solaris 10 o posterior, macOS (Mojave, Sierra y High Sierra), HP-UX (en Itanium), IBM AIX (7.1 TL3, 7.2 TL1 y posterior) o Linux. Hay disponible una evaluación gratuita de 30 días.
ManageEngine EventLog Analyzer es una herramienta de gestión de registros que también ofrece monitoreo de integridad de archivos. Examina los registros para encontrar modificaciones no autorizadas en archivos y carpetas sensibles y críticos para la configuración del sistema. Proporciona informes detallados sobre qué archivo se modificó, quién hizo el cambio y cuándo se modificó”.
Entre sus funciones se encuentran la “integridad total de los archivos (total file integrity)”, que escanea no solo el contenido de los archivos, sino también sus atributos, permisos, propiedad y tamaño, entre otros. Y el “monitoreo exhaustivo de archivos y carpetas”, que incluye la capacidad de monitorear archivos, carpetas, archivos de configuración del sistema, archivos de contenido, archivos y carpetas comprimidos, etc.
Ofrece una gestión integrada del cumplimiento de las normas PCI-DSS, SOX, HIPAA y FISMA, y permite a su personal informático crear sus propios informes de cumplimiento o modificar las plantillas existentes.
Existe un módulo de Análisis del Comportamiento de Usuarios y Entidades (UEBA), que utiliza el aprendizaje automático para detectar comportamientos sospechosos y detenerlos antes de que se produzcan daños. Esto incluye “inicios de sesión a una hora inusual, fallos de inicio de sesión excesivos y eliminaciones de archivos de un host que generalmente no es empleado por un usuario en particular”.
ManageEngine EventLog Analyzer puede ejecutarse en Windows (7 y superiores), Windows Server (2008 y superiores) y Linux (Red Hat 8.0 y superiores, todas las versiones de Red Hat Enterprise Linux, Mandrake/Mandriva, SUSE, Fedora, CentOS, Ubuntu y Debian). Hay disponible una versión de evaluación gratuita de 30 días.
Tripwire afirma que la tecnología de monitoreo de integridad de archivos fue inventada en parte por su cofundador, Gene Kim, a finales de los años 90. Se trata de una solución de gestión de la configuración de seguridad (SCM), que “ayuda a reducir la superficie de ataque y la exposición al riesgo con un endurecimiento adecuado del sistema y un monitoreo continuo de la configuración”.
El monitoreo de integridad de archivos forma parte de este enfoque de seguridad. Esta herramienta es capaz de detectar cambios en tiempo real, decir exactamente qué se ha cambiado y quién lo ha hecho, y distinguir entre cambios autorizados y no autorizados. Puede determinar con precisión qué cambios aumentan el riesgo y señalar los cambios que provocarán el incumplimiento de diversas normas.
Estas funciones reducen la relación señal-ruido, ayudándole a concentrarse en las amenazas reales. Tripwire también automatiza la generación de pruebas de cumplimiento, admitiendo “más de 800 combinaciones de políticas y plataformas para normativas como PCI, SOX, FISMA, HIPAA, ISO y NERC”.
Tripwire funciona en versiones de 64 bits de Windows o Red Hat Enterprise Linux (RHEL). No hay versión de evaluación, pero los clientes interesados pueden solicitar una demostración en el sitio web de la empresa.
Samhain es un sistema de detección de intrusiones basado en host (HIDS) de código abierto que proporciona “monitoreo de integridad de archivos y monitoreo/análisis de archivos de registro, así como detección de rootkits, monitoreo de puertos, detección de ejecutables SUID no autorizados y procesos ocultos”.
Cuando se ejecuta en Linux, Samhain puede utilizar el subsistema del núcleo inotify para generar notificaciones inmediatas sobre los cambios en el sistema de archivos, “eliminando la necesidad de escaneos frecuentes del sistema de archivos que pueden causar una alta carga de E/S”.
La herramienta puede monitorear sumas de comprobación de archivos (usando los algoritmos TIGER192, SHA-256, SHA-1 o MD5) y atributos como tamaño de archivo, modo/permisos, propietario, grupo, timestamp (creación/modificación/acceso), inodo y número de enlaces duros, entre otros, incluyendo atributos SELinux, POSIX ACLs y BSD file flags.
También puede utilizar el sistema de auditoría del kernel de Linux para determinar qué usuario modificó un archivo. Además, según los desarrolladores, Samhain es el único comprobador de integridad de archivos de código abierto que puede realizar comprobaciones incrementales en archivos de registro en crecimiento, tal y como exige la sección 10.5.5 de la norma PCI DSS.
No hay que olvidar que la consola de gestión de Samhain, llamada Beltane, es un producto independiente. Existen dos versiones: Beltane I es un “prototipo gratuito” con funcionalidades básicas, mientras que Beltane II está “dirigido a usuarios con grandes instalaciones cliente/servidor de Samhain, y ofrece características para mejorar significativamente la escalabilidad y usabilidad en dichos entornos”, y tiene licencia comercial.
Samhain está disponible para plataformas POSIX (Linux, *BSD, Solaris 2.x, AIX 5.x, HP-UX 11 y macOS). El agente de monitoreo también puede ejecutarse en Windows (2000/XP) utilizando una capa de emulación POSIX como Cygwin.
Qualys FIM es parte de Qualys Cloud Platform, una “solución en la nube para detectar y alertar sobre violaciones de integridad de archivos críticos del sistema y objetos de registro”, que “permite una forma sencilla de monitorear archivos, directorios y rutas de registro para detectar cambios en tiempo real, y ayuda a adherirse a mandatos de cumplimiento como PCI-DSS, FedRAMP, HIPAA, GDPR y otros”.
Además de la capacidad de monitoreo en tiempo real, esta herramienta proporciona visibilidad sobre quién realizó los cambios (usuario y proceso) en un archivo, las rutas completas de los archivos y del registro, la hora exacta del cambio y el cambio real.
Funciones como “estado de confianza (trust status)” y “servicio de reputación de archivos (file reputation service)” permiten a Qualys FIM incluir automáticamente en una lista blanca los cambios aprobados, haciendo sonar la alarma solamente para los maliciosos o sospechosos, reduciendo la cantidad de ruido para su equipo de seguridad.
También se incluyen perfiles listos para usar para supervisar archivos, objetos de registro y acciones muy críticos, que pueden ayudar a su equipo a poner en marcha sus esfuerzos de monitoreo y lograr el cumplimiento de diversas normas de seguridad.
Qualys FIM forma parte de Qualys Cloud Platform, que se proporciona en modo SaaS (Software as a Service), sin necesidad de descargar ni instalar ningún software. Los agentes pueden monitorear hosts Linux y Windows. Hay disponible una evaluación gratuita de 30 días.
Netwrix Change Tracker puede supervisar los cambios en los directorios y archivos del sistema en servidores Windows, supervisando “la integridad de los archivos y configuraciones del sistema mediante la comparación de hashes de archivos, valores de registro, cambios de permisos, versiones de software y contenidos de archivos de configuración”.
Puede excluir los cambios planificados, reduciendo las falsas alarmas y el ruido, e incorpora contexto adicional a la detección de amenazas y cambios proporcionado por una base de datos de seguridad en la nube con “más de 10.000 millones de reputaciones de archivos enviadas por proveedores de software originales como Microsoft, Oracle y Adobe”.
La herramienta incluye informes de cumplimiento predefinidos (incluidos PCI DSS, HIPAA y FISMA), puntos de referencia y plantillas de seguimiento, y puede proporcionar puntuaciones de cumplimiento para varios servidores Windows a la vez.
Las puntuaciones actuales pueden compararse con las anteriores para ayudarle a comprender si su situación de cumplimiento está mejorando o empeorando. Toda esta información se presenta en un panel, que incluye tendencias de cumplimiento y problemas potenciales con dispositivos individuales.
Netwrix Change Tracker es compatible con sistemas operativos Windows como Windows Server 2008/R2, 2012/R2, 2016 y 2019, así como Windows CE, XP, 7, 8.0, 8.1, 10 y 11. Los sistemas operativos no Linux compatibles son Ubuntu, SUSE, CentOS, Red Hat Enterprise Linux, Oracle, Solaris, HP/UX, AIX, Tandem Non-Stop, FreeBSD y macOS. Hay disponible una versión de evaluación gratuita de 20 días.
Entre todas las soluciones de monitoreo de integridad de archivos presentadas, nuestra favorita es Paessler PRTG, por varias razones. Para empezar, “marca todas las casillas” en nuestra lista de características deseadas.
También agiliza su flujo de trabajo al permitirle monitorizar toda su infraestructura con una sola herramienta. Y esta puede supervisar la integridad de los archivos, pero también el rendimiento de la red, los servicios en ejecución, el estado de los servidores, la infraestructura en la nube y mucho más. Realmente es una “navaja suiza”.
Eso significa que puede prescindir de tener que depender de una variedad de soluciones individualizadas, que pueden conllevar riesgos potenciales como la incompatibilidad con su flujo de trabajo actual e incluso problemas de seguridad.
Y lo que es más importante, viene con sensores integrados que cubren muchos de los principales casos de uso, sin necesidad de comprar extras. Esto le permite “empezar” rápidamente, reduciendo el tiempo de configuración. Y por último, pero no por ello menos relevante, es ampliable. Si se le quedan pequeñas las funciones integradas, puede instalar sensores de terceros, o incluso desarrollar los suyos propios, para cubrir necesidades específicas.
julio 24, 2023
En general, el monitoreo de sus servidores significa que usted observa métricas clave sobre la salud, disponibilidad, rendimiento, seguridad y procesos generales de sus servidores físicos...
julio 13, 2023
Si está aquí leyendo esto, probablemente se haya dado cuenta de que su infraestructura informática se ha vuelto demasiado compleja.
julio 12, 2023
El monitoreo sin agente es esencialmente un tipo de monitoreo de red que comprende un monitor que recoge diferentes métricas de rendimiento de un dispositivo en particular.
julio 10, 2023
julio 09, 2023
El monitoreo del ancho de banda determina el ancho de banda disponible en un sistema local (LAN o WiFi).
julio 06, 2023
Previous
Las mejores herramientas de monitoreo SNMP disponibles en la actualidad
Next
Las 10 mejores herramientas de monitoreo de hardware de PC de 2023