Microsoft je prenio uslugu praćenja aktivnosti u Sysmon sistemu na Linux platformu. Za praćenje rada Linuxa koristi se eBPF podsistem, koji vam omogućava da pokrenete rukovaoce koji rade na nivou kernela operativnog sistema. SysinternalsEBPF biblioteka se razvija zasebno, uključujući funkcije korisne za kreiranje BPF rukovalaca za praćenje događaja u sistemu. Kod kompleta alata je otvoren pod MIT licencom, a BPF programi su pod GPLv2 licencom. Repozitorijum packages.microsoft.com sadrži gotove RPM i DEB pakete pogodne za popularne Linux distribucije.
Sysmon vam omogućava da vodite dnevnik sa detaljnim informacijama o kreiranju i prekidu procesa, mrežnim vezama i manipulacijama datotekama. Dnevnik pohranjuje ne samo opće informacije, već i informacije korisne za analizu sigurnosnih incidenata, kao što su naziv nadređenog procesa, hashovi sadržaja izvršnih datoteka, informacije o dinamičkim bibliotekama, informacije o vremenu kreiranja/pristupa/promjene/ brisanje datoteka, podaci o direktnom pristupu procesa blokiranim uređajima. Da biste ograničili količinu snimljenih podataka, moguće je konfigurirati filtere. Dnevnik se može sačuvati putem standardnog Syslog-a.
izvor: opennet.ru