Microsoft preniesol službu sledovania aktivity v systéme Sysmon na platformu Linux. Na monitorovanie fungovania Linuxu sa používa subsystém eBPF, ktorý umožňuje spúšťať obslužné programy bežiace na úrovni jadra operačného systému. Knižnica SysinternalsEBPF je vyvíjaná samostatne, vrátane funkcií užitočných na vytváranie BPF handlerov na monitorovanie udalostí v systéme. Kód súpravy nástrojov je otvorený pod licenciou MIT a programy BPF sú pod licenciou GPLv2. Repozitár packages.microsoft.com obsahuje hotové balíčky RPM a DEB vhodné pre populárne distribúcie Linuxu.
Sysmon vám umožňuje viesť denník s podrobnými informáciami o vytváraní a ukončovaní procesov, sieťových pripojeniach a manipuláciách so súbormi. V protokole sú uložené nielen všeobecné informácie, ale aj informácie užitočné pri analýze bezpečnostných incidentov, ako je názov nadradeného procesu, hash obsahu spustiteľných súborov, informácie o dynamických knižniciach, informácie o čase vytvorenia/prístupu/zmeny/ mazanie súborov, údaje o priamom prístupe procesov k blokovacím zariadeniam. Na obmedzenie množstva zaznamenaných údajov je možné nakonfigurovať filtre. Protokol je možné uložiť cez štandardný Syslog.
Zdroj: opennet.ru