Un ausilio che funga da monitor di sicurezza aggiuntivo all’antivirus? Ecco come installare e configurare Attack Monitor, un semplice strumento Phyton, consigliato per gli Endpoint aziendali.
I requisiti
Per poter procedere con l’installazione dello strumento è necessario installare dei software necessari al suo corretto funzionamento.
In ordine bisogna installare:
- Phyton 3.8 e successive
- Powershell 5
Powershell 5 dovrebbe essere già presente in quanto introdotta dall’Anniversary Update, per verificare la versione installata digitare
Get-Host | Select-Object Version
Se vediamo di avere la versione 4 seguire qui.
Come installare Attack Monitor
Successivamente bisognerà scaricare lo strumento dal repository Github e procedere con i seguenti comandi.
- premere i pulsanti WIN + X ed aprire il prompt dei comandi come amministratore (o powershell)
- posizionarsi nella directory ove risiede lo strumento scaricare e scompattato
- digitare il comando:
pip3 install -U -r requirements.txt
![Attack Monitor: come aggiungere un Security Endpoint in Windows](https://i1.wp.com/angolodiwindows.com/wp-content/uploads/2020/03/pip3malwareED.png?fit=800%2C458&ssl=1)
Ora digitare:
python installer.py sysmon
Lo strumento scaricherà e scompatterà in automatico lo strumento.
![Attack Monitor: come aggiungere un Security Endpoint in Windows](https://i0.wp.com/angolodiwindows.com/wp-content/uploads/2020/03/pip3malwaresysmon.png?fit=800%2C464&ssl=1)
Scegliere, successivamente, la modalità di protezione Endpoint Mode, infatti lo strumento offre anche altri strumenti per l’analisi dei malware, che vedremo in un altro articolo.
![Attack Monitor: come aggiungere un Security Endpoint in Windows](https://i0.wp.com/angolodiwindows.com/wp-content/uploads/2020/03/pip3malwarepsmon.png?fit=800%2C463&ssl=1)
Ora digitando i comandi
python installer.py psaudit
python installer.py auditpol
installeremo la parte che si occuperà della raccolta dei dati in LOG.
![Attack Monitor: come aggiungere un Security Endpoint in Windows](https://i1.wp.com/angolodiwindows.com/wp-content/uploads/2020/03/pip3malwareED01.png?fit=800%2C463&ssl=1)
Ora digitiamo l’ultimo comando
python installer.py install
per installare la vera e propria applicazione, che all’avvio si mostrerà così:
![Attack Monitor: come aggiungere un Security Endpoint in Windows](https://angolodiwindows.com/wp-content/uploads/2020/03/pip3malwareAM.png)
Ora lo strumento monitorerà la situazione di tutte le risorse controllate , come ad esempio:
- Cambiamenti al Filesystem
- Connessioni di rete permesse
- Attività PowerShell
- Creazione di processi
- Attività SMB
- Operazioni pianificate
- Manipolazioni dell’account locale
- Accessi eseguiti o falliti
- Caricamento driver
- Accesso dischi RAW
- Monitor registro di sistema
- Servizi di sistema
- Richieste DNS (via Tshark)
Per approfondimenti è possibile visitare il Github ufficiale.