Microsoft është portuar në platformë Linux Shërbimi i monitorimit të aktivitetit të sistemit Sysmon. Për të ndjekur punën Linux Përdoret nënsistemi eBPF, i cili lejon ekzekutimin e trajtuesve që funksionojnë në nivelin e bërthamës së sistemit operativ. Biblioteka SysinternalsEBPF, e cila përfshin funksione të dobishme për krijimin e trajtuesve BPF për monitorimin e ngjarjeve të sistemit, po zhvillohet veçmas. Kodi i paketës së mjeteve është me burim të hapur sipas licencës MIT, dhe programet BPF janë të licencuara sipas GPLv2. Depozita packages.microsoft.com përmban paketa RPM dhe DEB të gatshme të përshtatshme për shpërndarjet popullore. Linux.
Sysmon ju lejon të mbani një regjistër me informacion të detajuar rreth krijimit dhe përfundimit të procesit, lidhjeve të rrjetit dhe manipulimeve të skedarëve. Regjistri ruan jo vetëm informacion të përgjithshëm, por edhe informacion të dobishëm për hetimin e incidenteve të sigurisë, siç është emri i procesit mëmë, hash-et e përmbajtjes së skedarit ekzekutues, informacioni i bibliotekës dinamike, kohët e krijimit/qasjes/modifikimit/fshirjes së skedarëve dhe të dhënat mbi aksesin direkt të procesit në pajisjet e bllokut. Filtrat mund të konfigurohen për të kufizuar sasinë e të dhënave të regjistruara. Regjistri mund të ruhet nëpërmjet Syslog-ut të integruar.
Burimi: opennet.ru
