Microsoft har portat aktivitetsövervakningstjänsten i Sysmon-systemet till Linux-plattformen. För att övervaka driften av Linux används eBPF-undersystemet, vilket låter dig starta hanterare som körs på operativsystemets kärnnivå. SysinternalsEBPF-biblioteket utvecklas separat, inklusive funktioner användbara för att skapa BPF-hanterare för övervakning av händelser i systemet. Verktygssatskoden är öppen under MIT-licensen, och BPF-programmen är under GPLv2-licensen. Packages.microsoft.com-förrådet innehåller färdiga RPM- och DEB-paket som är lämpliga för populära Linux-distributioner.
Sysmon låter dig föra en logg med detaljerad information om att skapa och avsluta processer, nätverksanslutningar och filmanipulationer. Loggen lagrar inte bara allmän information, utan också information som är användbar för att analysera säkerhetsincidenter, såsom namnet på den överordnade processen, hash av innehållet i körbara filer, information om dynamiska bibliotek, information om tidpunkten för skapande/åtkomst/ändring/ radering av filer, data om direktåtkomst av processer för att blockera enheter. För att begränsa mängden inspelad data är det möjligt att konfigurera filter. Loggen kan sparas via standard Syslog.
Källa: opennet.ru