Microsoft-ը Sysmon համակարգում գործողության մոնիտորինգի ծառայությունը տեղափոխել է Linux հարթակ: Linux-ի աշխատանքը վերահսկելու համար օգտագործվում է eBPF ենթահամակարգը, որը թույլ է տալիս գործարկել օպերացիոն համակարգի միջուկի մակարդակով աշխատող կարգավորիչներ։ SysinternalsEBPF գրադարանը մշակվում է առանձին՝ ներառելով գործառույթներ, որոնք օգտակար են համակարգում իրադարձությունների մոնիտորինգի համար BPF մշակիչներ ստեղծելու համար: Գործիքակազմի կոդը բաց է MIT լիցենզիայի ներքո, իսկ BPF ծրագրերը գտնվում են GPLv2 լիցենզիայի ներքո: packages.microsoft.com պահեստը պարունակում է պատրաստի RPM և DEB փաթեթներ, որոնք հարմար են հայտնի Linux բաշխումների համար:
Sysmon-ը թույլ է տալիս գրանցամատյան պահել գործընթացների ստեղծման և դադարեցման, ցանցային միացումների և ֆայլերի մանիպուլյացիաների մասին մանրամասն տեղեկություններով: Գրանցամատյանը պահպանում է ոչ միայն ընդհանուր տեղեկատվություն, այլև անվտանգության միջադեպերի վերլուծության համար օգտակար տեղեկատվություն, ինչպիսիք են հիմնական գործընթացի անվանումը, գործարկվող ֆայլերի բովանդակության հեշերը, դինամիկ գրադարանների մասին տեղեկատվություն, տեղեկատվություն ստեղծման/մուտքի/փոփոխման/ ժամանակի մասին: ֆայլերի ջնջում, սարքերի արգելափակման գործընթացների անմիջական մուտքի մասին տվյալներ: Ձայնագրված տվյալների քանակը սահմանափակելու համար հնարավոր է կարգավորել զտիչները: Մատյանը կարող է պահպանվել ստանդարտ Syslog-ի միջոցով:
Source: opennet.ru