Microsoft Sysmon системасындагы активдүүлүккө мониторинг жүргүзүү кызматын Linux платформасына өткөрдү. Linuxтун иштешин көзөмөлдөө үчүн операциялык системанын ядро деңгээлинде иштеген иштеткичтерди ишке киргизүүгө мүмкүндүк берген eBPF подсистемасы колдонулат. SysinternalsEBPF китепканасы өзүнчө иштелип жатат, анын ичинде системадагы окуяларга мониторинг жүргүзүү үчүн BPF иштеткичтерин түзүү үчүн пайдалуу функциялар. Инструменттердин коду MIT лицензиясы боюнча ачык, ал эми BPF программалары GPLv2 лицензиясынын астында. packages.microsoft.com репозиторийинде популярдуу Linux дистрибуцияларына ылайыктуу даяр RPM жана DEB пакеттери бар.
Sysmon процесстерди түзүү жана токтотуу, тармактык байланыштар жана файлдык манипуляциялар жөнүндө толук маалымат менен журналды жүргүзүүгө мүмкүндүк берет. Журнал жалпы маалыматты гана эмес, ошондой эле коопсуздук инциденттерин талдоо үчүн пайдалуу маалыматты, мисалы, ата-энелик процесстин аталышын, аткарылуучу файлдардын мазмунунун хэштерин, динамикалык китепканалар жөнүндө маалыматты, түзүү/кирүү/өзгөртүү/ убактысы жөнүндө маалыматты сактайт. файлдарды жок кылуу, процесстердин блокторго түз жетүү жөнүндө маалыматтар. Жазылган маалыматтардын көлөмүн чектөө үчүн чыпкаларды конфигурациялоого болот. Журнал стандарттуу Syslog аркылуу сакталышы мүмкүн.
Source: opennet.ru