Microsoft přenesl službu sledování aktivity v systému Sysmon na platformu Linux. Pro sledování provozu Linuxu se používá subsystém eBPF, který umožňuje spouštět handlery běžící na úrovni jádra operačního systému. Samostatně se vyvíjí knihovna SysinternalsEBPF, včetně funkcí užitečných pro vytváření BPF handlerů pro monitorování událostí v systému. Kód sady nástrojů je otevřen pod licencí MIT a programy BPF jsou pod licencí GPLv2. Repozitář packages.microsoft.com obsahuje hotové balíčky RPM a DEB vhodné pro oblíbené distribuce Linuxu.
Sysmon umožňuje vést protokol s podrobnými informacemi o vytváření a ukončování procesů, síťových připojeních a manipulaci se soubory. Protokol uchovává nejen obecné informace, ale také informace užitečné pro analýzu bezpečnostních incidentů, jako je název nadřazeného procesu, hash obsahu spustitelných souborů, informace o dynamických knihovnách, informace o čase vytvoření/přístupu/změny/ mazání souborů, údaje o přímém přístupu procesů k blokovacím zařízením. Pro omezení množství zaznamenaných dat je možné nakonfigurovat filtry. Protokol lze uložit přes standardní Syslog.
Zdroj: opennet.ru