Microsoft ir pārnesusi aktivitāšu uzraudzības pakalpojumu Sysmon sistēmā uz Linux platformu. Lai uzraudzītu Linux darbību, tiek izmantota eBPF apakšsistēma, kas ļauj palaist apstrādātājus, kas darbojas operētājsistēmas kodola līmenī. SysinternalsEBPF bibliotēka tiek izstrādāta atsevišķi, iekļaujot funkcijas, kas ir noderīgas BPF apdarinātāju izveidei notikumu uzraudzībai sistēmā. Rīku komplekta kods ir atvērts saskaņā ar MIT licenci, un BPF programmas ir saskaņā ar GPLv2 licenci. Packages.microsoft.com repozitorijā ir gatavas RPM un DEB pakotnes, kas piemērotas populāriem Linux izplatījumiem.
Sysmon ļauj saglabāt žurnālu ar detalizētu informāciju par procesu izveidi un pārtraukšanu, tīkla savienojumiem un failu manipulācijām. Žurnālā tiek glabāta ne tikai vispārīga informācija, bet arī informācija, kas noder drošības incidentu analīzei, piemēram, vecākprocesa nosaukums, izpildāmo failu satura jaukšana, informācija par dinamiskajām bibliotēkām, informācija par izveides/piekļuves/izmaiņas/ laiku. failu dzēšana, dati par tiešu piekļuvi procesiem, lai bloķētu ierīces. Lai ierobežotu ierakstīto datu apjomu, iespējams konfigurēt filtrus. Žurnālu var saglabāt, izmantojot standarta Syslog.
Avots: opennet.ru