Microsoft a portat serviciul de monitorizare a activității din sistemul Sysmon pe platforma Linux. Pentru a monitoriza funcționarea Linux, este utilizat subsistemul eBPF, care vă permite să lansați handlere care rulează la nivelul nucleului sistemului de operare. Biblioteca SysinternalsEBPF este dezvoltată separat, incluzând funcții utile pentru crearea de handlere BPF pentru monitorizarea evenimentelor din sistem. Codul setului de instrumente este deschis sub licența MIT, iar programele BPF sunt sub licența GPLv2. Depozitul packages.microsoft.com conține pachete RPM și DEB gata făcute potrivite pentru distribuțiile Linux populare.
Sysmon vă permite să păstrați un jurnal cu informații detaliate despre crearea și terminarea proceselor, conexiunile la rețea și manipulările fișierelor. Jurnalul stochează nu numai informații generale, ci și informații utile pentru analiza incidentelor de securitate, precum numele procesului părinte, hash-uri ale conținutului fișierelor executabile, informații despre bibliotecile dinamice, informații despre momentul creării/accesării/modificării/ ștergerea fișierelor, date despre accesul direct al proceselor pentru blocarea dispozitivelor. Pentru a limita cantitatea de date înregistrate, este posibil să configurați filtre. Jurnalul poate fi salvat prin Syslog standard.
Sursa: opennet.ru