Il monitoraggio dell'integrità dei file (FIM) è un controllo di sicurezza che tiene traccia dei file alla ricerca di modifiche inattese, come modifiche, eliminazioni, cambiamenti di autorizzazioni o la comparsa di nuovi file in directory sensibili. In genere confronta lo stato attuale dei file con una baseline attendibile e genera un avviso quando qualcosa è diverso. Tra i bersagli comuni figurano i file delle applicazioni web, i binari di sistema, i file di configurazione e gli script.
Il FIM è importante perché molte intrusioni lasciano tracce nel filesystem. Gli aggressori possono modificare le pagine di accesso, caricare web shell, alterare gli script di avvio o manomettere gli strumenti di sicurezza per mantenere nascosto l'accesso. Nei casi di estorsione o ransomware, il FIM può rivelare i primi segnali di compromissione prima che i dati vengano cifrati o esfiltrati. I difensori lo usano insieme all'analisi dei log, alla telemetria degli endpoint e ai backup per confermare se una modifica sia stata autorizzata. Un buon copertura FIM si concentra sui percorsi critici, riduce gli avvisi rumorosi e preserva le prove, in modo che chi risponde agli incidenti possa distinguere la normale manutenzione dalla manomissione malevola.