Patriot NG is a Host IDS‟ tool that allows real-time monitoring changes in Windows systems. According to Wikipedia, an IDS is defined as “a program used to detect unauthorized access to a computer or a network”.
Prerequisites.
You need to have installed correctly Winpcap (http://www.winpcap.org/install/default.htm) to be fully functional Patriot 2.0.
Patriot monitors:
- Changes in Registry keys: Indicating whether any sensitive key (autorun, internet explorer settings…) is altered.
- New files in ‘Startup’ directories
- New Users in the System
- New Services installed
- Changes in the hosts file
- New scheduled jobs
- Alteration of the integrity of Internet Explorer: (New BHOs, configuration changes, new toolbars)
- Changes in ARP table (Prevention of MITM attacks)
- Installation of new Drivers
- New Netbios shares
- TCP/IP Defense (New open ports, new connections made by processes, PortScan detection…)
- Files in critical directories (New executables, new DLLs…)
- New hidden windows (cmd.exe / Internet Explorer using OLE objects)
- Netbios connections to the System
- ARP Watch (New hosts in your network)
- NIDS (Detect anomalous network traffic based on editable rules)
2 תגובות:
בלוג נהדר,אני תמיד נהנה לקרוא ולהשכיל מהפוסטים שלך.
ספציפית לגבי הכלי לא הייתי ממהר להטמיע אותו בארגון שכן בטרם הטמעתו יש לבדוק האם יש לו "אבא ואמא" , מי עומד מאחורי הפרויקט (כבר שמענו מה היה עם מערכת ה-OpenBSD) ,האם קיים ניהול מרוכז ,התראות,דיווח ל-SYSLOG וכו'..מה שגם כל מערכת AntiVirus ארגונית היום נחשבת למערכת לניהול תצורת אבטחה ב-Endpoint אשר בין היתר כוללת IPS.. אבל תודה רבה על החידוש,לא הכרתי את הכלי הספציפי הזה!
רונן
http://so-secure.blogspot.com/
רונן
קודם כל תודה רבה, לגבי ההטמעה אני דיי מסכים איתך אבל תמיד ניתן להוסיף את הפונקציות שציינת.
לגבי ה - Antivirus ומערכות ה - IPS הפנימיות שלהם עדיין חסר להם חלק מהיכולות שיש לכלי הפשוט הזה.
הוסף רשומת תגובה