A Microsoft portou o serviço de monitoramento de atividades do sistema Sysmon para a plataforma Linux. Para monitorar o funcionamento do Linux, é utilizado o subsistema eBPF, que permite iniciar manipuladores em execução no nível do kernel do sistema operacional. A biblioteca SysinternalsEBPF está sendo desenvolvida separadamente, incluindo funções úteis para a criação de manipuladores BPF para monitoramento de eventos no sistema. O código do kit de ferramentas está aberto sob a licença MIT e os programas BPF estão sob a licença GPLv2. O repositório packages.microsoft.com contém pacotes RPM e DEB prontos, adequados para distribuições Linux populares.
Sysmon permite manter um log com informações detalhadas sobre a criação e encerramento de processos, conexões de rede e manipulações de arquivos. O log armazena não apenas informações gerais, mas também informações úteis para análise de incidentes de segurança, como nome do processo pai, hashes do conteúdo de arquivos executáveis, informações sobre bibliotecas dinâmicas, informações sobre o horário de criação/acesso/alteração/ exclusão de arquivos, dados sobre acesso direto de processos para bloquear dispositivos. Para limitar a quantidade de dados gravados, é possível configurar filtros. O log pode ser salvo via Syslog padrão.
Fonte: opennet.ru