Patriot NG is a Host IDS‟ tool that allows real-time monitoring changes in Windows systems. According to Wikipedia, an IDS is defined as “a program used to detect unauthorized access to a computer or a network”.
Prerequisites.
You need to have installed correctly Winpcap (http://www.winpcap.org/install/default.htm) to be fully functional Patriot 2.0.
Patriot monitors:
- Changes in Registry keys: Indicating whether any sensitive key (autorun, internet explorer settings…) is altered.
- New files in ‘Startup’ directories
- New Users in the System
- New Services installed
- Changes in the hosts file
- New scheduled jobs
- Alteration of the integrity of Internet Explorer: (New BHOs, configuration changes, new toolbars)
- Changes in ARP table (Prevention of MITM attacks)
- Installation of new Drivers
- New Netbios shares
- TCP/IP Defense (New open ports, new connections made by processes, PortScan detection…)
- Files in critical directories (New executables, new DLLs…)
- New hidden windows (cmd.exe / Internet Explorer using OLE objects)
- Netbios connections to the System
- ARP Watch (New hosts in your network)
- NIDS (Detect anomalous network traffic based on editable rules)
בלוג נהדר,אני תמיד נהנה לקרוא ולהשכיל מהפוסטים שלך.
השבמחקספציפית לגבי הכלי לא הייתי ממהר להטמיע אותו בארגון שכן בטרם הטמעתו יש לבדוק האם יש לו "אבא ואמא" , מי עומד מאחורי הפרויקט (כבר שמענו מה היה עם מערכת ה-OpenBSD) ,האם קיים ניהול מרוכז ,התראות,דיווח ל-SYSLOG וכו'..מה שגם כל מערכת AntiVirus ארגונית היום נחשבת למערכת לניהול תצורת אבטחה ב-Endpoint אשר בין היתר כוללת IPS.. אבל תודה רבה על החידוש,לא הכרתי את הכלי הספציפי הזה!
רונן
http://so-secure.blogspot.com/
רונן
השבמחקקודם כל תודה רבה, לגבי ההטמעה אני דיי מסכים איתך אבל תמיד ניתן להוסיף את הפונקציות שציינת.
לגבי ה - Antivirus ומערכות ה - IPS הפנימיות שלהם עדיין חסר להם חלק מהיכולות שיש לכלי הפשוט הזה.