Microsoft ha portato sulla piattaforma Linux il servizio di monitoraggio delle attività di sistema Sysmon. Per il monitoraggio in ambiente Linux viene utilizzato il sottosistema eBPF, che permette l'esecuzione di gestori a livello del kernel del sistema operativo. È in fase di sviluppo una libreria chiamata SysinternalsEBPF, che include funzioni utili per la creazione di gestori BPF per il monitoraggio degli eventi di sistema. Il codice della libreria è rilasciato con licenza MIT, mentre i programmi BPF sono sotto licenza GPLv2. Nel repository packages.microsoft.com sono disponibili pacchetti RPM e DEB pronti all'uso per le principali distribuzioni Linux.
Sysmon consente di registrare dettagliatamente informazioni sulla creazione e chiusura dei processi, sulle connessioni di rete e sulle manipolazioni dei file. Nella registrazione vengono memorizzate non solo informazioni generali, ma anche dati utili per l'analisi di incidenti di sicurezza, come il nome del processo padre, gli hash dei contenuti dei file eseguibili, le informazioni sulle librerie dinamiche e i dettagli su tempi di creazione/accesso/modifica/cancellazione dei file, nonché dati sull'accesso diretto dei processi ai dispositivi di blocco. Per limitare il volume dei dati registrati, è possibile configurare dei filtri. I log possono essere memorizzati tramite il normale Syslog.
Fonte: opennet.ru
