Microsoft корпорациясы Sysmon жүйесіндегі белсенділікті бақылау қызметін Linux платформасына көшірді. Linux жұмысын бақылау үшін операциялық жүйе ядросы деңгейінде жұмыс істейтін өңдеушілерді іске қосуға мүмкіндік беретін eBPF ішкі жүйесі пайдаланылады. SysinternalsEBPF кітапханасы жүйедегі оқиғаларды бақылау үшін BPF өңдеушілерін жасау үшін пайдалы функцияларды қоса, бөлек әзірленуде. Құралдар жинағы коды MIT лицензиясы бойынша ашық, ал BPF бағдарламалары GPLv2 лицензиясы бойынша. packages.microsoft.com репозиторийінде танымал Linux дистрибутивтері үшін жарамды дайын RPM және DEB бумалары бар.
Sysmon сізге процестерді құру және тоқтату, желілік қосылымдар және файлдық манипуляциялар туралы егжей-тегжейлі ақпаратпен журналды жүргізуге мүмкіндік береді. Журнал тек жалпы ақпаратты ғана емес, сонымен қатар негізгі процестің атауы, орындалатын файлдар мазмұнының хэштері, динамикалық кітапханалар туралы ақпарат, жасау/кіру/ уақыты туралы ақпарат сияқты қауіпсіздікке қатысты оқиғаларды талдау үшін пайдалы ақпаратты сақтайды. файлдарды өзгерту/жою, құрылғыларды блоктау процестеріне тікелей қол жеткізу туралы деректер. Жазылған деректер көлемін шектеу үшін сүзгілерді конфигурациялауға болады. Журналды стандартты Syslog арқылы сақтауға болады.
Ақпарат көзі: opennet.ru