Microsoft har portert aktivitetsovervåkingstjenesten i Sysmon-systemet til Linux-plattformen. For å overvåke driften av Linux, brukes eBPF-undersystemet, som lar deg starte behandlere som kjører på operativsystemets kjernenivå. SysinternalsEBPF-biblioteket utvikles separat, inkludert funksjoner som er nyttige for å lage BPF-behandlere for overvåking av hendelser i systemet. Verktøysettkoden er åpen under MIT-lisensen, og BPF-programmene er under GPLv2-lisensen. Packages.microsoft.com-lageret inneholder ferdige RPM- og DEB-pakker som er egnet for populære Linux-distribusjoner.
Sysmon lar deg føre en logg med detaljert informasjon om opprettelse og avslutning av prosesser, nettverkstilkoblinger og filmanipulasjoner. Loggen lagrer ikke bare generell informasjon, men også informasjon som er nyttig for å analysere sikkerhetshendelser, for eksempel navnet på overordnet prosess, hash av innholdet i kjørbare filer, informasjon om dynamiske biblioteker, informasjon om tidspunktet for opprettelse/tilgang/endring/ sletting av filer, data om direkte tilgang til prosesser for å blokkere enheter. For å begrense mengden registrerte data er det mulig å konfigurere filtre. Loggen kan lagres via standard Syslog.
Kilde: opennet.ru