Microsoft Sysmon sistemində fəaliyyətin monitorinqi xidmətini Linux platformasına köçürüb. Linux-un işinə nəzarət etmək üçün əməliyyat sisteminin nüvəsi səviyyəsində işləyən işləyiciləri işə salmağa imkan verən eBPF alt sistemindən istifadə olunur. SysinternalsEBPF kitabxanası sistemdə hadisələrin monitorinqi üçün BPF işləyicilərinin yaradılması üçün faydalı funksiyalar da daxil olmaqla ayrıca hazırlanır. Alətlər dəsti kodu MIT lisenziyası altında açıqdır və BPF proqramları GPLv2 lisenziyası altındadır. packages.microsoft.com repozitoriyası populyar Linux paylamalarına uyğun hazır RPM və DEB paketlərini ehtiva edir.
Sysmon sizə proseslərin yaradılması və dayandırılması, şəbəkə əlaqələri və fayl manipulyasiyaları haqqında ətraflı məlumatların daxil olduğu jurnal saxlamağa imkan verir. Jurnal təkcə ümumi məlumatları deyil, həm də təhlükəsizlik insidentlərinin təhlili üçün faydalı olan məlumatları, məsələn, ana prosesin adı, icra edilə bilən faylların məzmununun heşləri, dinamik kitabxanalar haqqında məlumat, yaradılma/giriş/dəyişiklik/ vaxtı haqqında məlumatları saxlayır. faylların silinməsi, cihazların bloklanmasına proseslərin birbaşa çıxışı haqqında məlumatlar. Qeydə alınmış məlumatların miqdarını məhdudlaşdırmaq üçün filtrləri konfiqurasiya etmək mümkündür. Jurnal standart Syslog vasitəsilə saxlanıla bilər.
Mənbə: opennet.ru