Η Microsoft έχει μεταφέρει την υπηρεσία παρακολούθησης δραστηριότητας στο σύστημα Sysmon στην πλατφόρμα Linux. Για την παρακολούθηση της λειτουργίας του Linux, χρησιμοποιείται το υποσύστημα eBPF, το οποίο σας επιτρέπει να εκκινήσετε χειριστές που εκτελούνται σε επίπεδο πυρήνα λειτουργικού συστήματος. Η βιβλιοθήκη SysinternalsEBPF αναπτύσσεται χωριστά, συμπεριλαμβανομένων λειτουργιών χρήσιμες για τη δημιουργία χειριστών BPF για την παρακολούθηση συμβάντων στο σύστημα. Ο κωδικός της εργαλειοθήκης είναι ανοιχτός με την άδεια MIT και τα προγράμματα BPF είναι υπό την άδεια GPLv2. Το αποθετήριο packages.microsoft.com περιέχει έτοιμα πακέτα RPM και DEB κατάλληλα για δημοφιλείς διανομές Linux.
Το Sysmon σάς επιτρέπει να διατηρείτε ένα αρχείο καταγραφής με λεπτομερείς πληροφορίες σχετικά με τη δημιουργία και τον τερματισμό των διαδικασιών, τις συνδέσεις δικτύου και τους χειρισμούς αρχείων. Το αρχείο καταγραφής αποθηκεύει όχι μόνο γενικές πληροφορίες, αλλά και πληροφορίες χρήσιμες για την ανάλυση περιστατικών ασφαλείας, όπως το όνομα της γονικής διαδικασίας, κατακερματισμοί των περιεχομένων των εκτελέσιμων αρχείων, πληροφορίες για δυναμικές βιβλιοθήκες, πληροφορίες σχετικά με το χρόνο δημιουργίας/πρόσβασης/αλλαγής/ διαγραφή αρχείων, δεδομένα σχετικά με την άμεση πρόσβαση των διαδικασιών για τον αποκλεισμό συσκευών. Για να περιοριστεί ο όγκος των καταγεγραμμένων δεδομένων, είναι δυνατή η διαμόρφωση φίλτρων. Το αρχείο καταγραφής μπορεί να αποθηκευτεί μέσω του τυπικού Syslog.
Πηγή: opennet.ru