Компания Microsoft ΠΏΠΎΡ€Ρ‚ΠΈΡ€ΠΎΠ²Π°Π»Π° Sysmon для Linux ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Π»Π° Π΅Π³ΠΎ ΠΊΠΎΠ΄

Компания Microsoft ΠΏΠΎΡ€Ρ‚ΠΈΡ€ΠΎΠ²Π°Π»Π° Π½Π° ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡƒ Linux сСрвис ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° активности Π² систСмС Sysmon. Для отслСТивания Ρ€Π°Π±ΠΎΡ‚Ρ‹ Linux примСняСтся подсистСма eBPF, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ Π·Π°ΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΠ΅ Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ядра ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы. ΠžΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎ развиваСтся Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ° SysinternalsEBPF, Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰Π°Ρ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ, ΠΏΠΎΠ»Π΅Π·Π½Ρ‹Π΅ для создания BPF-ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² для ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° событий Π² систСмС. Код инструмСнтария ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ ΠΏΠΎΠ΄ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠ΅ΠΉ MIT, Π° BPF-ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ ΠΏΠΎΠ΄ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠ΅ΠΉ GPLv2. Π’ Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ packages.microsoft.com Ρ€Π°Π·ΠΌΠ΅Ρ‰Π΅Π½Ρ‹ Π³ΠΎΡ‚ΠΎΠ²Ρ‹Π΅ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ RPM ΠΈ DEB, подходящиС для популярных дистрибутивов Linux.

Sysmon позволяСт вСсти Π»ΠΎΠ³ с Π΄Π΅Ρ‚Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ ΠΎ создании ΠΈ Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΠΈ процСссов, сСтСвых соСдинСниях ΠΈ манипуляциях с Ρ„Π°ΠΉΠ»Π°ΠΌΠΈ. Π’ Π»ΠΎΠ³Π΅ ΡΠΎΡ…Ρ€Π°Π½ΡΡŽΡ‚ΡΡ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ±Ρ‰ΠΈΠ΅ свСдСния, Π½ΠΎ ΠΈ информация, полСзная для Ρ€Π°Π·Π±ΠΎΡ€Π° связанных с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ², такая ΠΊΠ°ΠΊ имя Ρ€ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΡΠΊΠΎΠ³ΠΎ процСсса, Ρ…ΡΡˆΠΈ ΠΎΡ‚ содСрТимого исполняСмых Ρ„Π°ΠΉΠ»ΠΎΠ², информация ΠΎ динамичСских Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ°Ρ…, свСдСния ΠΎ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ создания/обращСния/измСнСния/удалСния Ρ„Π°ΠΉΠ»ΠΎΠ², Π΄Π°Π½Π½Ρ‹Π΅ ΠΎ прямом доступС процСссов ΠΊ Π±Π»ΠΎΡ‡Π½Ρ‹ΠΌ устройствам. Для ограничСния ΠΎΠ±ΡŠΡ‘ΠΌΠ° записываСмых Π΄Π°Π½Π½Ρ‹Ρ… прСдоставляСтся Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ настройки Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΠΎΠ². Π›ΠΎΠ³ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΠΎΡ…Ρ€Π°Π½ΡΡ‚ΡŒΡΡ Ρ‡Π΅Ρ€Π΅Π· ΡˆΡ‚Π°Ρ‚Π½Ρ‹ΠΉ Syslog.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru