مائیکروسافٹ نے سیسمون سسٹم میں ایکٹیویٹی مانیٹرنگ سروس کو لینکس پلیٹ فارم پر پورٹ کر دیا ہے۔ لینکس کے آپریشن کی نگرانی کے لیے، eBPF سب سسٹم استعمال کیا جاتا ہے، جو آپ کو آپریٹنگ سسٹم کرنل کی سطح پر چلنے والے ہینڈلرز کو لانچ کرنے کی اجازت دیتا ہے۔ SysinternalsEBPF لائبریری کو الگ سے تیار کیا جا رہا ہے، بشمول سسٹم میں واقعات کی نگرانی کے لیے BPF ہینڈلرز بنانے کے لیے مفید فنکشنز۔ ٹول کٹ کوڈ MIT لائسنس کے تحت کھلا ہے، اور BPF پروگرام GPLv2 لائسنس کے تحت ہیں۔ packages.microsoft.com ریپوزٹری میں تیار شدہ RPM اور DEB پیکیجز ہیں جو لینکس کی مقبول تقسیم کے لیے موزوں ہیں۔
Sysmon آپ کو عمل کی تخلیق اور ختم کرنے، نیٹ ورک کنکشن اور فائل کی ہیرا پھیری کے بارے میں تفصیلی معلومات کے ساتھ لاگ رکھنے کی اجازت دیتا ہے۔ لاگ میں نہ صرف عام معلومات، بلکہ حفاظتی واقعات کا تجزیہ کرنے کے لیے مفید معلومات، جیسے کہ پیرنٹ پروسیس کا نام، قابل عمل فائلوں کے مواد کی ہیش، متحرک لائبریریوں کے بارے میں معلومات، تخلیق/ رسائی/ تبدیلی کے وقت کے بارے میں معلومات کو ذخیرہ کیا جاتا ہے۔ فائلوں کو حذف کرنا، آلات کو بلاک کرنے کے عمل تک براہ راست رسائی کے بارے میں ڈیٹا۔ ریکارڈ شدہ ڈیٹا کی مقدار کو محدود کرنے کے لیے، فلٹرز کو ترتیب دینا ممکن ہے۔ لاگ کو معیاری Syslog کے ذریعے محفوظ کیا جا سکتا ہے۔
ماخذ: opennet.ru