Microsoft har overført aktivitetsovervågningstjenesten i Sysmon-systemet til Linux-platformen. For at overvåge driften af Linux bruges eBPF-undersystemet, som giver dig mulighed for at starte handlere, der kører på operativsystemets kerneniveau. SysinternalsEBPF-biblioteket udvikles separat, herunder funktioner, der er nyttige til at oprette BPF-handlere til overvågning af hændelser i systemet. Toolkitkoden er åben under MIT-licensen, og BPF-programmerne er under GPLv2-licensen. Packages.microsoft.com-lageret indeholder færdiglavede RPM- og DEB-pakker, der egner sig til populære Linux-distributioner.
Sysmon giver dig mulighed for at føre en log med detaljerede oplysninger om oprettelse og afslutning af processer, netværksforbindelser og filmanipulationer. Loggen gemmer ikke kun generel information, men også information, der er nyttig til at analysere sikkerhedshændelser, såsom navnet på den overordnede proces, hashes af indholdet af eksekverbare filer, information om dynamiske biblioteker, information om tidspunktet for oprettelse/adgang/ændring/ sletning af filer, data om direkte adgang til processer for at blokere enheder. For at begrænse mængden af registrerede data er det muligt at konfigurere filtre. Loggen kan gemmes via standard Syslog.
Kilde: opennet.ru