Latest on critical Apache Log4j vulnerability Read More >

Lacework Cloud Care

Whether you’re a Lacework customer or not, we’re here to help with our free Cloud Care, a Log4j rescue program. Get access to:

Erfassen, Identifizieren und Melden von Dateiänderungen

Demo ansehen

Richtungsweisende Datei- und Integritätsüberwachung

Automatisieren Sie die Einrichtung und beseitigen Sie den Bedarf an arbeitsintensiver Regelentwicklung und -verwaltung bei schnellen Cloud-Implementierungen.

DEMO ANSEHEN

icon LÖSUNGSBESCHREIBUNG ANSEHEN

Dateimanipulationen sind eine ernsthafte Bedrohung für jede Cloud-Umgebung. Wir bei Lacework haben erkannt, dass die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) mehr als nur einen Punkt auf der Checkliste für die Aufrechterhaltung der Compliance, sondern eine wichtige Voraussetzung für einen effektiven Compliance-Prozess darstellt. Die FIM-Lösung von Lacework wurde für schnelle Cloud-Implementierungen entwickelt, automatisiert die Einrichtung und macht eine arbeitsintensive Regelentwicklung und -verwaltung überflüssig. Unsere innovative Baselining-Technologie hält mit Änderungen der Cloud Schritt und reduziert gleichzeitig die Zahl der Fehlalarme drastisch. So können sich Ihre Sicherheitsteams auf die wirklich wichtigen Änderungen bei der Überwachung der Dateiintegrität konzentrieren.

Unsere Lösung zur Überwachung der Dateiintegrität identifiziert zudem schädliche Dateien und andere Anomalien in Ihren Cloud- und Container-Umgebungen. Sie ermittelt die beteiligten Akteure und versendet kontextbezogene Warnmeldungen, die Ihren Teams umsetzbare Informationen an die Hand geben.

Automatisierung mit Dateierkennung

Der Lacework-Agent zur Überwachung der Dateiintegrität automatisiert den Prozess der Erfassung und Aufzeichnung von Dateien. Unser Agent zeichnet neue Dateien auf, sobald sie hinzugefügt werden (einschließlich der Hashes der Dateien, wenn sie sich ändern), und zeigt sowohl die alte als auch die neue Datei zum einfachen Vergleich an.

  • Unser Agent spielt Daten an die Cloud-Plattform zurück, um sicherzustellen, dass die Informationen zuverlässig erfasst und gespeichert werden.
  • Nach der Erhebung wird die Prüfsumme mit kuratierten Bedrohungsdatenbanken abgeglichen, um sicherzustellen, dass keine bekannten schädlichen Dateien in der überwachten Umgebung enthalten sind.
  • Wenn eine bekannte schädlichen Datei in der Umgebung gefunden wird, sendet unsere Plattform eine entsprechende Warnmeldung. Dies ermöglicht es den Sicherheitsteams, die betroffenen Systeme schnell zu untersuchen und weitere Nachforschungen über die Datei anzustellen, wobei eine Verbindung zur VirusTotal-Datenbank für Zusammenfassungen der Bedrohungen hergestellt wird.

Dies beschleunigt den Prozess der Identifizierung von Dateien sowie die erforderlichen Untersuchungen, um die Auswirkungen der schädlichen Datei zu verstehen.

Integrierte und umfassende Überwachung der Dateiintegrität

  • Genau feststellen, wie sich eine Datei geändert hat, indem Änderungen am Inhalt und an den Metadaten erkannt werden und ermittelt wird, ob die Datei geändert oder einfach hinzugefügt wurde
  • Umfassende Informationen über ausführbare Dateien, wie Dateien, die ohne eine Paketinstallation erstellt wurden, beim Start verwendete Befehlszeilen, aktuell laufende Prozesse (mit Benutzern und Netzwerkaktivitäten) und verdächtige Versionen
  • Umfassende Dateiinformationen mit integrierten Bedrohungsdaten aus der ReversingLabs-Bibliothek mit fünf Milliarden Dateien
  • Untersuchen von Ereignissen und Aktivitäten im Zusammenhang mit FIM-Signalen mit nur einem Klick
  • Cloudweite Kapazitäten für die Suche, für Dateityp-Zusammenfassungen und für die Erkennung neuer Dateien

Cloud-Skalierung und Geschwindigkeit

  • Automatisierte Konfiguration, Dateierkennung und Vorgänge
  • Skalierbare Architektur ohne zusätzliche Komplexität oder Leistungseinbußen
  • Im Leistungsumfang aller Lacework AWS Cloud Security-Agenten enthalten

Dateisicherheit kombiniert mit Skalierbarkeit und Compliance

Mit Lacework können Sicherheitsteams genau nachvollziehen, wie sich Dateien verändert haben. Dies ergänzen wir um Folgendes:

  • Informationen über ausführbare Dateien, wie Dateien, die ohne eine Paketinstallation erstellt wurden, beim Start verwendete Befehlszeilen, aktuell laufende Prozesse (mit Benutzern und Netzwerkaktivitäten) und verdächtige Versionen.
  • Untersuchen von Ereignissen und Aktivitäten im Zusammenhang mit FIM-Signalen mit nur einem Klick
  • Cloudweite Kapazitäten für die Suche, für Dateityp-Zusammenfassungen und für die Erkennung neuer Dateien
  • Skalierbare Architektur ohne zusätzliche Komplexität oder Leistungseinbußen

FAQs zum System für Überwachung der Datenintegrität von Lacework

Die Lösung zur Überwachung der Dateiintegrität von Lacework erzeugt einen Hash von Dateien und vergleicht diesen mit bekannten schädlichen Datei-Hashes. Wenn eine schädliche Datei entdeckt wird, wird eine Warnmeldung generiert, damit Sie passende Maßnahmen ergreifen können.

Die FIM überwacht einmal pro Tag alle Binärdateien, die mit Prozessen einhergehen, die mit Netzwerkverbindungen zusammenhängen, sowie eine vordefinierte Liste von Verzeichnissen/Dateien.

Das Standardintervall für FIM-Scans ist ein Scan pro Tag. Dieses Intervall wurde gewählt, um die Funktionsanforderungen mit den Kosten für CPU, Speicher und Festplatten-IO in Einklang zu bringen.

Die Überwachung der Dateiintegrität ermöglicht einen Einblick in neue und geänderte Dateien: Dateien mit mehreren ausführbaren Dateien, Dateien, die ohne Pakete installiert wurden, und schädliche Dateien.

Wir arbeiten mit einem externen Anbieter zusammen und vergleichen den SHA256-Datei-Hash mit einer Liste bekannter schädlicher Datei-Hashes.

Die FIM-Lösung von Lacework untersucht den Inhalt der Datei und sendet nur die Metadaten und den Datei-Hash.

Nein, die Dateiinhalte werden weder von FIM untersucht noch an Lacework gesendet.