مایکروسافت سرویس نظارت بر فعالیت در سیستم Sysmon را به پلتفرم لینوکس منتقل کرده است. برای نظارت بر عملکرد لینوکس، از زیرسیستم eBPF استفاده می شود که به شما امکان می دهد کنترل کننده هایی را که در سطح هسته سیستم عامل اجرا می شوند راه اندازی کنید. کتابخانه SysinternalsEBPF به طور جداگانه در حال توسعه است، از جمله توابع مفید برای ایجاد کنترل کننده های BPF برای نظارت بر رویدادها در سیستم. کد جعبه ابزار تحت مجوز MIT باز است و برنامه های BPF تحت مجوز GPLv2 هستند. مخزن packages.microsoft.com حاوی بسته های آماده RPM و DEB مناسب برای توزیع های محبوب لینوکس است.
Sysmon به شما اجازه می دهد تا یک گزارش با اطلاعات دقیق در مورد ایجاد و خاتمه فرآیندها، اتصالات شبکه و دستکاری فایل ها نگه دارید. این گزارش نه تنها اطلاعات عمومی، بلکه اطلاعات مفید برای تجزیه و تحلیل حوادث امنیتی مانند نام فرآیند والد، هش های محتوای فایل های اجرایی، اطلاعات کتابخانه های پویا، اطلاعات مربوط به زمان ایجاد/دسترسی/تغییر/ را ذخیره می کند. حذف فایل ها، داده ها در مورد دسترسی مستقیم به فرآیندها برای مسدود کردن دستگاه ها. برای محدود کردن مقدار داده های ضبط شده، امکان پیکربندی فیلترها وجود دارد. گزارش را می توان از طریق Syslog استاندارد ذخیره کرد.
منبع: opennet.ru