Microsoft portou o servizo de monitorización de actividade no sistema Sysmon á plataforma Linux. Para supervisar o funcionamento de Linux, utilízase o subsistema eBPF, que permite lanzar controladores que se executan a nivel do núcleo do sistema operativo. A biblioteca SysinternalsEBPF estase a desenvolver por separado, incluíndo funcións útiles para crear controladores BPF para supervisar eventos no sistema. O código do kit de ferramentas está aberto baixo a licenza MIT e os programas BPF están baixo a licenza GPLv2. O repositorio packages.microsoft.com contén paquetes RPM e DEB preparados para as distribucións populares de Linux.
Sysmon permítelle manter un rexistro con información detallada sobre a creación e terminación de procesos, conexións de rede e manipulacións de ficheiros. O rexistro almacena non só información xeral, senón tamén información útil para analizar incidentes de seguridade, como o nome do proceso principal, hash do contido dos ficheiros executables, información sobre bibliotecas dinámicas, información sobre o momento de creación/acceso/cambio/ eliminación de ficheiros, datos sobre o acceso directo de procesos para bloquear dispositivos. Para limitar a cantidade de datos rexistrados, é posible configurar filtros. O rexistro pódese gardar mediante Syslog estándar.
Fonte: opennet.ru