Microsoft đã chuyển dịch vụ giám sát hoạt động trong hệ thống Sysmon sang nền tảng Linux. Để giám sát hoạt động của Linux, hệ thống con eBPF được sử dụng, cho phép bạn khởi chạy các trình xử lý chạy ở cấp kernel của hệ điều hành. Thư viện SysinternalsEBPF đang được phát triển riêng biệt, bao gồm các chức năng hữu ích để tạo trình xử lý BPF nhằm theo dõi các sự kiện trong hệ thống. Mã bộ công cụ được mở theo giấy phép MIT và các chương trình BPF theo giấy phép GPLv2. Kho lưu trữ packages.microsoft.com chứa các gói RPM và DEB được tạo sẵn phù hợp với các bản phân phối Linux phổ biến.
Sysmon cho phép bạn ghi nhật ký với thông tin chi tiết về việc tạo và chấm dứt các tiến trình, kết nối mạng và thao tác với tệp. Nhật ký không chỉ lưu trữ thông tin chung mà còn lưu trữ thông tin hữu ích để phân tích các sự cố bảo mật, chẳng hạn như tên của quy trình gốc, hàm băm của nội dung của tệp thực thi, thông tin về thư viện động, thông tin về thời gian tạo/truy cập/thay đổi/ xóa tập tin, dữ liệu về quyền truy cập trực tiếp của các tiến trình vào thiết bị chặn. Để giới hạn lượng dữ liệu được ghi, có thể định cấu hình bộ lọc. Nhật ký có thể được lưu thông qua Syslog tiêu chuẩn.
Nguồn: opennet.ru