Microsoft, bu platforma uyarlama yaptı. Linux Sysmon sistem aktivitesi izleme hizmeti. Yapılan çalışmaları takip etmek için kullanılır. Linux eBPF alt sistemi kullanılarak, işletim sistemi çekirdeği düzeyinde çalışan işleyicilerin yürütülmesine olanak sağlanmaktadır. Sistem olaylarını izlemek için BPF işleyicileri oluşturmada faydalı işlevler içeren SysinternalsEBPF kütüphanesi ayrı olarak geliştirilmektedir. Araç seti kodu MIT lisansı altında açık kaynaklıdır ve BPF programları GPLv2 lisansı altındadır. packages.microsoft.com deposu, popüler dağıtımlar için uygun hazır RPM ve DEB paketleri içermektedir. Linux.
Sysmon, süreçlerin oluşturulması ve sonlandırılması, ağ bağlantıları ve dosya manipülasyonları hakkında ayrıntılı bilgiler içeren bir günlük tutmanıza olanak tanır. Günlük yalnızca genel bilgileri değil, aynı zamanda ana işlemin adı, yürütülebilir dosyaların içeriğinin karmaları, dinamik kitaplıklar hakkında bilgiler, oluşturma/erişim/değiştirme/oluşturma zamanı hakkındaki bilgiler gibi güvenlik olaylarını analiz etmek için yararlı bilgileri de saklar. dosyaların silinmesi, cihazların engellenmesi için işlemlere doğrudan erişime ilişkin veriler. Kaydedilen veri miktarını sınırlamak için filtreleri yapılandırmak mümkündür. Günlük, standart Syslog aracılığıyla kaydedilebilir.
Kaynak: opennet.ru
