Microsoft het na die platform oorgedra Linux Sysmon-stelselaktiwiteitmoniteringsdiens. Om die werk dop te hou Linux Die eBPF-substelsel word gebruik, wat die uitvoering van hanteerders wat op die bedryfstelselkernvlak loop, moontlik maak. Die SysinternalsEBPF-biblioteek, wat funksies insluit wat nuttig is vir die skep van BPF-hanterders vir die monitering van stelselgebeurtenisse, word afsonderlik ontwikkel. Die gereedskapskiskode is oopbron onder die MIT-lisensie, en die BPF-programme word gelisensieer onder die GPLv2. Die packages.microsoft.com-bewaarplek bevat gereedgemaakte RPM- en DEB-pakkette wat geskik is vir gewilde verspreidings. Linux.
Sysmon laat jou toe om 'n logboek te hou met gedetailleerde inligting oor die skep en beëindiging van prosesse, netwerkverbindings en lêermanipulasies. Die log stoor nie net algemene inligting nie, maar ook inligting wat nuttig is vir die ontleding van sekuriteitsinsidente, soos die naam van die ouerproses, hashes van die inhoud van uitvoerbare lêers, inligting oor dinamiese biblioteke, inligting oor die tyd van skepping/toegang/verandering/ verwydering van lêers, data oor direkte toegang tot prosesse om toestelle te blokkeer. Om die hoeveelheid aangetekende data te beperk, is dit moontlik om filters op te stel. Die log kan gestoor word via standaard Syslog.
Bron: opennet.ru
