Microsoftek plataformara eraman du Linux Sysmon sistemaren jardueraren monitorizazio zerbitzua. Lana jarraitzeko Linux eBPF azpisistema erabiltzen da, sistema eragilearen kernel mailan exekutatzen diren kudeatzaileak exekutatzeko aukera emanez. SysinternalsEBPF liburutegia, sistemaren gertaerak monitorizatzeko BPF kudeatzaileak sortzeko baliagarriak diren funtzioak dituena, bereiz garatzen ari da. Tresna-multzoaren kodea MIT lizentziapean dago, eta BPF programak GPLv2 lizentziapean daude. packages.microsoft.com biltegiak banaketa ezagunetarako egokiak diren RPM eta DEB pakete prest egindakoak ditu. Linux.
Sysmon-ek prozesuen sorrerari eta amaierari, sareko konexioei eta fitxategien manipulazioei buruzko informazio zehatza duen erregistro bat gordetzeko aukera ematen dizu. Erregistroak ez du informazio orokorra bakarrik gordetzen, baita segurtasun-intzidenteak ikertzeko baliagarria den informazioa ere, hala nola prozesu nagusiaren izena, fitxategi exekutagarrien edukiaren hash-ak, liburutegi dinamikoaren informazioa, fitxategiak sortzeko/sartzeko/aldatzeko/ezabatzeko denborak eta bloke-gailuetarako prozesuetarako sarbide zuzenari buruzko datuak. Iragazkiak konfigura daitezke grabatutako datuen kopurua mugatzeko. Erregistroa Syslog-aren bidez gorde daiteke.
Iturria: opennet.ru
