Microsoft heeft de activiteitsmonitoringservice in het Sysmon-systeem overgezet naar het Linux-platform. Om de werking van Linux te controleren, wordt het eBPF-subsysteem gebruikt, waarmee u handlers kunt starten die op kernelniveau van het besturingssysteem draaien. De SysinternalsEBPF-bibliotheek wordt afzonderlijk ontwikkeld, inclusief functies die nuttig zijn voor het maken van BPF-handlers voor het monitoren van gebeurtenissen in het systeem. De toolkitcode is open onder de MIT-licentie en de BPF-programma's vallen onder de GPLv2-licentie. De package.microsoft.com-repository bevat kant-en-klare RPM- en DEB-pakketten die geschikt zijn voor populaire Linux-distributies.
Met Sysmon kunt u een logboek bijhouden met gedetailleerde informatie over het maken en beëindigen van processen, netwerkverbindingen en bestandsmanipulaties. In het logboek wordt niet alleen algemene informatie opgeslagen, maar ook informatie die nuttig is voor het analyseren van beveiligingsincidenten, zoals de naam van het bovenliggende proces, hashes van de inhoud van uitvoerbare bestanden, informatie over dynamische bibliotheken, informatie over het tijdstip van creatie/toegang/wijziging/ verwijdering van bestanden, gegevens over directe toegang tot processen om apparaten te blokkeren. Om de hoeveelheid opgenomen gegevens te beperken, is het mogelijk om filters te configureren. Het log kan worden opgeslagen via standaard Syslog.
Bron: opennet.ru