Microsoft on Sysmoni süsteemis aktiivsusmonitooringu teenuse teisaldanud Linuxi platvormile. Linuxi töö jälgimiseks kasutatakse eBPF-i alamsüsteemi, mis võimaldab käivitada operatsioonisüsteemi kerneli tasemel töötavaid töötlejaid. Eraldi arendatakse SysinternalsEBPF teeki, mis sisaldab funktsioone, mis on kasulikud BPF-i töötlejate loomiseks süsteemi sündmuste jälgimiseks. Tööriistakomplekti kood on avatud MIT litsentsi all ja BPF programmid on GPLv2 litsentsi all. Packages.microsoft.com hoidla sisaldab valmis RPM- ja DEB-pakette, mis sobivad populaarsete Linuxi distributsioonide jaoks.
Sysmon võimaldab teil pidada logi üksikasjaliku teabega protsesside loomise ja lõpetamise, võrguühenduste ja failidega manipuleerimise kohta. Logi ei salvesta mitte ainult üldist teavet, vaid ka teavet, mis on kasulik turvaintsidentide analüüsimiseks, nagu põhiprotsessi nimi, käivitatavate failide sisu räsid, teave dünaamiliste teekide kohta, teave loomise/juurdepääsu/muutmise/ aja kohta. failide kustutamine, andmed protsesside otsese juurdepääsu kohta seadmete blokeerimiseks. Salvestatavate andmete hulga piiramiseks on võimalik seadistada filtreid. Logi saab salvestada tavalise Syslogi kaudu.
Allikas: opennet.ru