A Microsoft a Sysmon rendszer tevékenységfigyelő szolgáltatását Linux platformra portolta. A Linux működésének figyelésére az eBPF alrendszert használják, amely lehetővé teszi az operációs rendszer kernel szintjén futó kezelők elindítását. A SysinternalsEBPF könyvtárat külön fejlesztik, beleértve a BPF-kezelők létrehozásához hasznos funkciókat a rendszer eseményeinek megfigyeléséhez. Az eszközkészlet kódja az MIT licenc alatt, a BPF programok pedig a GPLv2 licenc alatt érhetők el. A packages.microsoft.com repository kész RPM és DEB csomagokat tartalmaz, amelyek alkalmasak a népszerű Linux disztribúciókhoz.
A Sysmon lehetővé teszi, hogy naplót vezessen részletes információkkal a folyamatok létrehozásáról és leállításáról, a hálózati kapcsolatokról és a fájlkezelésről. A napló nemcsak általános információkat tárol, hanem a biztonsági incidensek elemzéséhez hasznos információkat is, például a szülőfolyamat nevét, a végrehajtható fájlok tartalmának kivonatait, a dinamikus könyvtárakra vonatkozó információkat, a létrehozás/elérés/módosítás idejére vonatkozó információkat. fájlok törlése, adatok a folyamatokhoz való közvetlen hozzáférésről az eszközök blokkolásához. A rögzített adatok mennyiségének korlátozása érdekében lehetőség van szűrők konfigurálására. A napló a szabványos Syslogon keresztül menthető.
Forrás: opennet.ru