Microsoft-ek Sysmon sistemako jarduerak kontrolatzeko zerbitzua Linux plataformara eraman du. Linux-en funtzionamendua kontrolatzeko, eBPF azpisistema erabiltzen da, sistema eragilearen kernel mailan exekutatzen diren kudeatzaileak abiarazteko aukera ematen duena. SysinternalsEBPF liburutegia bereizita garatzen ari da, sistemako gertaeren jarraipena egiteko BPF kudeatzaileak sortzeko erabilgarriak diren funtzioak barne. Tresna-kitaren kodea MIT lizentziapean dago irekita, eta BPF programak GPLv2 lizentziapean daude. packages.microsoft.com biltegiak Linux banaketa ezagunetarako egokiak diren RPM eta DEB paketeak ditu.
Sysmon-ek prozesuak sortzeari eta amaitzeari, sareko konexioei eta fitxategien manipulazioari buruzko informazio zehatza duen erregistro bat gordetzeko aukera ematen du. Erregistroak informazio orokorra ez ezik, segurtasun gorabeherak aztertzeko erabilgarria den informazioa ere gordetzen du, hala nola, prozesu nagusiaren izena, fitxategi exekutagarrien edukien hashak, liburutegi dinamikoei buruzko informazioa, sortzeko/sarbide/aldaketa/denborari buruzko informazioa. fitxategiak ezabatzea, gailuak blokeatzeko prozesuen sarbide zuzenari buruzko datuak. Grabatutako datu kopurua mugatzeko, iragazkiak konfigura daitezke. Erregistroa Syslog estandarraren bidez gorde daiteke.
Iturria: opennet.ru