Microsoft on portannut alustalle Linux Sysmon-järjestelmän toiminnan valvontapalvelu. Työn seuraamiseen Linux eBPF-alijärjestelmää käytetään, mikä mahdollistaa käyttöjärjestelmän kernel-tasolla toimivien käsittelijöiden suorittamisen. SysinternalsEBPF-kirjastoa, joka sisältää funktioita, jotka ovat hyödyllisiä BPF-käsittelijöiden luomiseen järjestelmätapahtumien valvontaa varten, kehitetään erikseen. Työkalupakin koodi on avoimen lähdekoodin MIT-lisenssillä, ja BPF-ohjelmat on lisensoitu GPLv2-lisenssillä. packages.microsoft.com-arkisto sisältää valmiita RPM- ja DEB-paketteja, jotka sopivat suosittuihin jakeluihin. Linux.
Sysmonin avulla voit pitää lokia, joka sisältää yksityiskohtaisia tietoja prosessien luomisesta ja lopettamisesta, verkkoyhteyksistä ja tiedostojen käsittelystä. Loki tallentaa yleisten tietojen lisäksi myös tietoja, jotka ovat hyödyllisiä tietoturvahäiriöiden tutkimisessa, kuten pääprosessin nimen, suoritettavien tiedostojen sisällön tiivisteet, dynaamisen kirjaston tiedot, tiedostojen luonti-, käyttö-, muokkaus- ja poistoajat sekä tiedot prosessien suorasta käytöstä lohkolaitteille. Suodattimia voidaan määrittää tallennetun tiedon määrän rajoittamiseksi. Loki voidaan tallentaa sisäänrakennetun Syslogin kautta.
Lähde: opennet.ru
