Microsoft ได้ย้ายบริการตรวจสอบกิจกรรมในระบบ Sysmon ไปยังแพลตฟอร์ม Linux ในการตรวจสอบการทำงานของ Linux จะใช้ระบบย่อย eBPF ซึ่งช่วยให้คุณสามารถเรียกใช้ตัวจัดการที่ทำงานในระดับเคอร์เนลของระบบปฏิบัติการ ไลบรารี SysinternalsEBPF กำลังได้รับการพัฒนาแยกกัน รวมถึงฟังก์ชันที่มีประโยชน์สำหรับการสร้างตัวจัดการ BPF สำหรับการมอนิเตอร์เหตุการณ์ในระบบ รหัสชุดเครื่องมือเปิดภายใต้ใบอนุญาต MIT และโปรแกรม BPF อยู่ภายใต้ใบอนุญาต GPLv2 พื้นที่เก็บข้อมูล packages.microsoft.com มีแพ็คเกจ RPM และ DEB สำเร็จรูปที่เหมาะสำหรับการกระจาย Linux ยอดนิยม
Sysmon อนุญาตให้คุณเก็บบันทึกพร้อมข้อมูลโดยละเอียดเกี่ยวกับการสร้างและการยุติกระบวนการ การเชื่อมต่อเครือข่าย และการจัดการไฟล์ บันทึกนี้ไม่เพียงแต่จัดเก็บข้อมูลทั่วไปเท่านั้น แต่ยังรวมถึงข้อมูลที่เป็นประโยชน์สำหรับการวิเคราะห์เหตุการณ์ด้านความปลอดภัยด้วย เช่น ชื่อของกระบวนการหลัก แฮชของเนื้อหาของไฟล์ปฏิบัติการ ข้อมูลเกี่ยวกับไลบรารีไดนามิก ข้อมูลเกี่ยวกับเวลาของการสร้าง/การเข้าถึง/การเปลี่ยนแปลง/ การลบไฟล์ข้อมูลเกี่ยวกับการเข้าถึงกระบวนการโดยตรงเพื่อบล็อกอุปกรณ์ หากต้องการจำกัดจำนวนข้อมูลที่บันทึกไว้ คุณสามารถกำหนดค่าตัวกรองได้ บันทึกสามารถบันทึกผ่าน Syslog มาตรฐาน
ที่มา: opennet.ru