Thiago Teixeira
EN | PT

Tripwire

Fortra (Tripwire)

Ferramenta de Monitoramento de Integridade de Arquivos (FIM) que detecta alterações não autorizadas em arquivos e configurações.

Análise de Endpoint Freemium Agente / Serviço Em Estudo Linux
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Preparação
9 Detecção e Análise
10 Contenção, Erradicação e Recuperação
11 Atividade Pós-Incidente

Descrição

O Tripwire é a ferramenta original de monitoramento de integridade de arquivos (FIM), disponível como utilitário open-source (tripwire-oss) e como produto comercial Tripwire Enterprise. Estabelece um baseline conhecido de hashes, permissões e metadados de arquivos e alerta sobre qualquer desvio — indicador clássico de adulteração, persistência de malware ou mudanças administrativas não autorizadas.

O CySA+ referencia FIM diretamente nos objetivos de security operations e incident response porque violações de integridade em binários, web roots, /etc/ ou chaves de registro são sinais de comprometimento de alta confiança.

Casos de uso

  • Baseline de diretórios Linux críticos (/etc, /usr/bin, /var/www)
  • Detecção de webshells em servidor web público
  • Evidência de conformidade para PCI-DSS req. 11.5
  • Verificação de integridade de gold images após deploy

Exemplo

# Initialise the baseline database
sudo tripwire --init

# Run integrity check and report changes
sudo tripwire --check --report-level 4