מייקראָסאָפֿט האט טראַנספּאָרטאַד די טעטיקייט מאָניטאָרינג דינסט אין די Sysmon סיסטעם צו די לינוקס פּלאַטפאָרמע. צו מאָניטאָר די אָפּעראַציע פון לינוקס, די eBPF סובסיסטעם איז געניצט, וואָס אַלאַוז איר צו קאַטער האַנדלערס פליסנדיק אויף די קערן מדרגה פון די אָפּערייטינג סיסטעם. די SysinternalsEBPF ביבליאָטעק איז דעוועלאָפּעד סעפּעראַטלי, אַרייַנגערעכנט פאַנגקשאַנז נוציק פֿאַר קריייטינג BPF האַנדלערס פֿאַר מאָניטאָרינג געשעענישן אין די סיסטעם. די טאָאָלקיט קאָד איז אָפן אונטער די MIT דערלויבעניש, און די BPF מגילה זענען אונטער די GPLv2 דערלויבעניש. די packages.microsoft.com ריפּאַזאַטאָרי כּולל פאַרטיק רפּם און דעב פּאַקאַדזשאַז פּאַסיק פֿאַר פאָלקס לינוקס דיסטריביושאַנז.
Sysmon אַלאַוז איר צו האַלטן אַ קלאָץ מיט דיטיילד אינפֿאָרמאַציע וועגן די שאַפונג און טערמאַניישאַן פון פּראַסעסאַז, נעץ קאַנעקשאַנז און טעקע מאַניפּיאַליישאַנז. דער קלאָץ סטאָרז ניט בלויז אַלגעמיינע אינפֿאָרמאַציע, אָבער אויך נוציק אינפֿאָרמאַציע פֿאַר אַנאַלייזינג זיכערהייט ינסאַדאַנץ, אַזאַ ווי די נאָמען פון די פאָטער פּראָצעס, האַשעס פון די אינהאַלט פון עקסעקוטאַבלע טעקעס, אינפֿאָרמאַציע וועגן דינאַמיש לייברעריז, אינפֿאָרמאַציע וועגן די צייט פון שאַפונג / אַקסעס / טוישן / דילישאַן פון טעקעס, דאַטן וועגן דירעקט אַקסעס פון פּראַסעסאַז צו פאַרשפּאַרן דעוויסעס. צו באַגרענעצן די סומע פון רעקאָרדעד דאַטן, עס איז מעגלעך צו קאַנפיגיער פילטערס. דער קלאָץ קענען זיין געראטעוועט דורך נאָרמאַל Syslog.
מקור: opennet.ru