Компанія Microsoft портувала на платформу Linux сервіс моніторингу активності у системі Sysmon. Для відстеження роботи Linux використовується підсистема eBPF, що дозволяє запускати обробники, які працюють на рівні ядра операційної системи. Окремо розвивається бібліотека SysinternalsEBPF, що включає функції, корисні для створення BPF-обробників для моніторингу подій у системі. Код інструментарію відкрито під ліцензією MIT, а BPF-програми під ліцензією GPLv2. У репозиторії packages.microsoft.com розміщені готові пакети RPM та DEB, які підходять для популярних дистрибутивів Linux.
Sysmon дозволяє вести лог з деталізованою інформацією про створення та завершення процесів, мережеві з'єднання та маніпуляції з файлами. У лозі зберігаються не тільки загальні відомості, але й інформація, корисна для розбору пов'язаних з безпекою інцидентів, така як ім'я батьківського процесу, хеші від вмісту файлів, інформація про динамічні бібліотеки, відомості про час створення/звернення/зміни/видалення файлів, дані про прямий доступ процесів до блокових пристроїв. Для обмеження обсягу даних, що записуються, надається можливість налаштування фільтрів. Лог може зберігатися через штатний Syslog.
Джерело: opennet.ru