Microsoft ha portado el servicio de monitoreo de actividad Sysmon a la plataforma Linux. Para monitorear el trabajo de Linux, se utiliza el subsistema eBPF, que le permite ejecutar controladores que funcionan en el nivel del kernel del sistema operativo.
La biblioteca SysinternalsEBPF se está desarrollando por separado, que incluye funciones útiles para crear controladores BPF para monitorear eventos del sistema. El código del kit de herramientas está abierto bajo la licencia MIT y los programas BPF están bajo la licencia GPLv2.
El repositorio packages.microsoft.com contiene paquetes RPM y DEB listos para usar, adecuados para distribuciones populares de Linux.
Sysmon le permite mantener un registro con información detallada sobre la creación y terminación de procesos, conexiones de red y manipulaciones de archivos.
El registro almacena no solo información general, sino también información útil para analizar incidentes relacionados con la seguridad, como el nombre del proceso principal, hashes del contenido de archivos ejecutables, información sobre bibliotecas dinámicas, información sobre el momento de creación /acceso/modificación/borrado de archivos, datos sobre acceso directo de procesos para bloquear dispositivos.
Para limitar la cantidad de datos registrados, se proporciona la capacidad de personalizar filtros. El registro se puede guardar a través del Syslog normal.
Fuente: https://techcommunity.microsoft.com.