Microsoft пренесе услугата за наблюдение на активността в системата Sysmon към платформата Linux. За наблюдение на работата на Linux се използва подсистемата eBPF, която ви позволява да стартирате манипулатори, работещи на ниво ядро на операционната система. Библиотеката SysinternalsEBPF се разработва отделно, включително функции, полезни за създаване на BPF манипулатори за наблюдение на събития в системата. Кодът на инструментариума е отворен под лиценз MIT, а BPF програмите са под лиценз GPLv2. Хранилището на packages.microsoft.com съдържа готови RPM и DEB пакети, подходящи за популярни Linux дистрибуции.
Sysmon ви позволява да поддържате дневник с подробна информация за създаването и прекратяването на процеси, мрежови връзки и манипулации на файлове. Дневникът съхранява не само обща информация, но и информация, полезна за анализиране на инциденти със сигурността, като име на родителския процес, хешове на съдържанието на изпълними файлове, информация за динамични библиотеки, информация за времето на създаване/достъп/промяна/ изтриване на файлове, данни за директен достъп на процеси до блокиращи устройства. За да ограничите количеството записани данни, е възможно да конфигурирате филтри. Дневникът може да бъде запазен чрез стандартния Syslog.
Източник: opennet.ru