Microsoft hat den Aktivitätsüberwachungsdienst im Sysmon-System auf die Linux-Plattform portiert. Um den Betrieb von Linux zu überwachen, wird das eBPF-Subsystem verwendet, mit dem Sie Handler starten können, die auf der Kernelebene des Betriebssystems ausgeführt werden. Die SysinternalsEBPF-Bibliothek wird separat entwickelt und enthält nützliche Funktionen zum Erstellen von BPF-Handlern zur Überwachung von Ereignissen im System. Der Toolkit-Code ist unter der MIT-Lizenz geöffnet und die BPF-Programme stehen unter der GPLv2-Lizenz. Das Paketpakete.microsoft.com-Repository enthält vorgefertigte RPM- und DEB-Pakete, die für gängige Linux-Distributionen geeignet sind.
Mit Sysmon können Sie ein Protokoll mit detaillierten Informationen über die Erstellung und Beendigung von Prozessen, Netzwerkverbindungen und Dateimanipulationen führen. Das Protokoll speichert nicht nur allgemeine Informationen, sondern auch Informationen, die für die Analyse von Sicherheitsvorfällen nützlich sind, wie z. B. den Namen des übergeordneten Prozesses, Hashes des Inhalts ausführbarer Dateien, Informationen über dynamische Bibliotheken, Informationen über den Zeitpunkt der Erstellung/des Zugriffs/der Änderung/ Löschen von Dateien, Daten über den direkten Zugriff von Prozessen auf Blockgeräte. Um die Menge der aufgezeichneten Daten zu begrenzen, besteht die Möglichkeit, Filter zu konfigurieren. Das Protokoll kann über Standard-Syslog gespeichert werden.
Source: opennet.ru