Microsoft huet den Aktivitéitsiwwerwaachungsservice am Sysmon System op d'Linux Plattform portéiert. Fir d'Operatioun vu Linux ze iwwerwaachen, gëtt den eBPF Subsystem benotzt, wat Iech erlaabt Handler ze starten déi um Kernelniveau vum Betribssystem lafen. D'SysinternalsEBPF Bibliothéik gëtt separat entwéckelt, dorënner Funktiounen nëtzlech fir BPF Handler ze kreéieren fir Eventer am System ze iwwerwaachen. Den Toolkit Code ass ënner der MIT Lizenz op, an d'BPF Programmer sinn ënner der GPLv2 Lizenz. De packages.microsoft.com Repository enthält fäerdeg RPM- an DEB-Pakete passend fir populär Linux Verdeelungen.
Sysmon erlaabt Iech e Logbuch mat detailléierter Informatioun iwwer d'Schafung an d'Ennung vu Prozesser, Netzwierkverbindungen a Dateimanipulatiounen ze halen. De Log späichert net nëmmen allgemeng Informatioun, awer och Informatioun nëtzlech fir d'Analyse vu Sécherheetsinfällen, wéi zum Beispill den Numm vum Elterendeel, Hashes vum Inhalt vun ausführbare Dateien, Informatioun iwwer dynamesch Bibliothéiken, Informatioun iwwer d'Zäit vun der Schafung / Zougang / Ännerung / Läschen vun Dateien, Daten iwwer den direkten Zougang vu Prozesser fir Apparater ze blockéieren. Fir d'Quantitéit vun opgeholl Daten ze limitéieren, ass et méiglech Filteren ze konfiguréieren. De Log kann iwwer Standard Syslog gespäichert ginn.
Source: opennet.ru