Компания Microsoft портировала Sysmon для Linux и открыла его код

Компания Microsoft портировала на платформу Linux сервис мониторинга активности в системе Sysmon. Для отслеживания работы Linux применяется подсистема eBPF, позволяющая запускать обработчики, работающие на уровне ядра операционной системы. Отдельно развивается библиотека SysinternalsEBPF, включающая функции, полезные для создания BPF-обработчиков для мониторинга событий в системе. Код инструментария открыт под лицензией MIT, а BPF-программы под лицензией GPLv2. В репозитории packages.microsoft.com размещены готовые пакеты RPM и DEB, подходящие для популярных дистрибутивов Linux.

Sysmon позволяет вести лог с детализированной информацией о создании и завершении процессов, сетевых соединениях и манипуляциях с файлами. В логе сохраняются не только общие сведения, но и информация, полезная для разбора связанных с безопасностью инцидентов, такая как имя родительского процесса, хэши от содержимого исполняемых файлов, информация о динамических библиотеках, сведения о времени создания/обращения/изменения/удаления файлов, данные о прямом доступе процессов к блочным устройствам. Для ограничения объёма записываемых данных предоставляется возможность настройки фильтров. Лог может сохраняться через штатный Syslog.

Источник: opennet.ru