Кампанія Microsoft партавала на платформу Linux сэрвіс маніторынгу актыўнасці ў сістэме Sysmon. Для адсочвання працы Linux ужываецца падсістэма eBPF, якая дазваляе запускаць апрацоўшчыкі, якія працуюць на ўзроўні ядра аперацыйнай сістэмы. Асобна развіваецца бібліятэка SysinternalsEBPF, якая ўключае функцыі, карысныя для стварэння BPF-апрацоўшчыкаў для маніторынгу падзей у сістэме. Код інструментара адкрыты пад ліцэнзіяй MIT, а BPF-праграмы пад ліцэнзіяй GPLv2. У рэпазітары packages.microsoft.com размешчаны гатовыя пакеты RPM і DEB, прыдатныя для папулярных дыстрыбутываў Linux.
Sysmon дазваляе весці лог з дэталізаванай інфармацыяй аб стварэнні і завяршэнні працэсаў, сеткавых злучэннях і маніпуляцыях з файламі. У логу захоўваюцца не толькі агульныя звесткі, але і інфармацыя, карысная для разбору звязаных з бяспекай інцыдэнтаў, такая як імя бацькоўскага працэсу, хэшы ад змесціва выкананых файлаў, інфармацыя аб дынамічных бібліятэках, звесткі аб часе стварэння/звароты/змены/выдаленні файлаў, дадзеныя аб прамым доступе працэсаў да блокавых прылад. Для абмежавання аб'ёму якія запісваюцца дадзеных падаецца магчымасць налады фільтраў. Лог можа захоўвацца праз штатны Syslog.
Крыніца: opennet.ru