Microsoft przeniósł usługę monitorowania aktywności w systemie Sysmon na platformę Linux. Do monitorowania działania systemu Linux wykorzystywany jest podsystem eBPF, który umożliwia uruchamianie programów obsługi działających na poziomie jądra systemu operacyjnego. Odrębnie rozwijana jest biblioteka SysinternalsEBPF, zawierająca funkcje przydatne do tworzenia handlerów BPF do monitorowania zdarzeń w systemie. Kod zestawu narzędzi jest otwarty na licencji MIT, a programy BPF na licencji GPLv2. Repozytorium pakietów.microsoft.com zawiera gotowe pakiety RPM i DEB odpowiednie dla popularnych dystrybucji Linuksa.
Sysmon umożliwia prowadzenie dziennika zawierającego szczegółowe informacje dotyczące tworzenia i kończenia procesów, połączeń sieciowych i manipulacji plikami. W logu przechowywane są nie tylko informacje ogólne, ale także informacje przydatne do analizy incydentów bezpieczeństwa, takie jak nazwa procesu nadrzędnego, skróty zawartości plików wykonywalnych, informacje o bibliotekach dynamicznych, informacje o czasie utworzenia/dostępu/zmiany/ usuwanie plików, dane o bezpośrednim dostępie procesów do blokowanych urządzeń. Aby ograniczyć ilość rejestrowanych danych, istnieje możliwość skonfigurowania filtrów. Dziennik można zapisać za pomocą standardowego Syslog.
Źródło: opennet.ru