Microsoft het die aktiwiteitsmoniteringdiens in die Sysmon-stelsel na die Linux-platform oorgedra. Om die werking van Linux te monitor, word die eBPF-substelsel gebruik, wat jou toelaat om hanteerders wat op die bedryfstelselkernvlak loop, te begin. Die SysinternalsEBPF-biblioteek word afsonderlik ontwikkel, insluitend funksies wat nuttig is vir die skep van BPF-hanteerders vir die monitering van gebeure in die stelsel. Die toolkit-kode is oop onder die MIT-lisensie, en die BPF-programme is onder die GPLv2-lisensie. Die packages.microsoft.com-bewaarplek bevat klaargemaakte RPM- en DEB-pakkette wat geskik is vir gewilde Linux-verspreidings.
Sysmon laat jou toe om 'n logboek te hou met gedetailleerde inligting oor die skep en beëindiging van prosesse, netwerkverbindings en lêermanipulasies. Die log stoor nie net algemene inligting nie, maar ook inligting wat nuttig is vir die ontleding van sekuriteitsinsidente, soos die naam van die ouerproses, hashes van die inhoud van uitvoerbare lêers, inligting oor dinamiese biblioteke, inligting oor die tyd van skepping/toegang/verandering/ verwydering van lêers, data oor direkte toegang tot prosesse om toestelle te blokkeer. Om die hoeveelheid aangetekende data te beperk, is dit moontlik om filters op te stel. Die log kan gestoor word via standaard Syslog.
Bron: opennet.ru