Microsoft a porté le service de surveillance des activités du système Sysmon sur la plate-forme Linux. Pour surveiller le fonctionnement de Linux, le sous-système eBPF est utilisé, ce qui vous permet de lancer des gestionnaires exécutés au niveau du noyau du système d'exploitation. La bibliothèque SysinternalsEBPF est développée séparément, comprenant des fonctions utiles pour créer des gestionnaires BPF pour surveiller les événements dans le système. Le code de la boîte à outils est ouvert sous licence MIT et les programmes BPF sont sous licence GPLv2. Le référentiel packages.microsoft.com contient des packages RPM et DEB prêts à l'emploi adaptés aux distributions Linux populaires.
Sysmon vous permet de conserver un journal avec des informations détaillées sur la création et l'arrêt des processus, les connexions réseau et les manipulations de fichiers. Le journal stocke non seulement des informations générales, mais également des informations utiles pour analyser les incidents de sécurité, telles que le nom du processus parent, les hachages du contenu des fichiers exécutables, des informations sur les bibliothèques dynamiques, des informations sur l'heure de création/accès/modification/ suppression de fichiers, données sur l'accès direct aux processus pour bloquer les appareils. Pour limiter la quantité de données enregistrées, il est possible de configurer des filtres. Le journal peut être enregistré via Syslog standard.
Source: opennet.ru