Microsoft ha portato il servizio di monitoraggio delle attività nel sistema Sysmon sulla piattaforma Linux. Per monitorare il funzionamento di Linux, viene utilizzato il sottosistema eBPF, che consente di avviare gestori in esecuzione a livello del kernel del sistema operativo. La libreria SysinternalsEBPF viene sviluppata separatamente, includendo funzioni utili per creare gestori BPF per monitorare gli eventi nel sistema. Il codice del toolkit è aperto sotto la licenza MIT e i programmi BPF sono sotto la licenza GPLv2. Il repository packages.microsoft.com contiene pacchetti RPM e DEB già pronti adatti alle distribuzioni Linux più diffuse.
Sysmon ti consente di tenere un registro con informazioni dettagliate sulla creazione e la terminazione di processi, connessioni di rete e manipolazione di file. Il log memorizza non solo informazioni generali, ma anche informazioni utili per analizzare gli incidenti di sicurezza, come il nome del processo genitore, gli hash del contenuto dei file eseguibili, informazioni sulle librerie dinamiche, informazioni sull'ora di creazione/accesso/modifica/ cancellazione di file, dati sull'accesso diretto ai processi per bloccare i dispositivi. Per limitare la quantità di dati registrati è possibile configurare dei filtri. Il registro può essere salvato tramite Syslog standard.
Fonte: opennet.ru