بينما تنتج Microsoft التطبيقات والخدمات بشكل أساسي مصمم لاستخدامها مع نظامك الخاص تشغيل Windows ، على مر السنين الشركة لم يعتمد نظام macOS فحسب ، بل اعتمد أيضًا Linux. بعد إطلاق نظام Windows الفرعي لنظام Linux مؤخرًا في متجر Windows 11 ، أصدرت Microsoft للتو أداة أخرى من أدواتها لمستخدمي Linux.
وهو أن Microsoft قد أصدرت للتو إصدارًا لنظام Linux من Sysmon ، أداة مراقبة نظام Windows. يعد Sysmon ببساطة أحد الأدوات في مجموعة Sysinternals التي تحتفظ بها Microsoft ، مما يمنح المستخدمين القدرة على مراقبة الأنظمة بحثًا عن علامات النشاط المشبوه التي يمكن تسجيلها بعد ذلك.
هذه أداة قابلة للتكوين بدرجة عالية يمكن لمسؤولي النظام تخصيصها للعثور على أنواع محددة جدًا من الأنشطة التي قد تكون مصدر قلق.
حول مراقب نظام Sysmon
بالنسبة لأولئك الذين ليسوا على دراية بـ Sysmon ، يجب أن تعلموا أن هذا إنه برنامج تم تثبيته كخدمة نظام ويستمر تشغيله حتى بعد عمليات إعادة التشغيل اللاحقة.
يسمح بمراقبة وتسجيل نشاط النظام في سجل الأحداث يوفر Windows معلومات مفصلة حول إنشاء العمليات واتصالات الشبكة وإنشاء الملفات وتعديلها. من خلال فحص الأحداث التي تم إنشاؤها بواسطة Sysmon على الجهاز المستخدم ، يمكن للمسؤول تحديد النشاط الشاذ أو الضار ، وفهم كيفية استخدام النظام ، وفهم كيفية تصرف المتسللين على النظام.
إصدار Linux من Sysmon بعيد كل البعد عن كونه أداة مساعدة فريدة، ويجد نفسه يكافح لجذب الانتباه في مجال مزدحم بالفعل. ومع ذلك ، ستجد معجبين بين مسؤولي النظام الذين يستخدمون بالفعل Sysmon لـ Windows وينتظرون بفارغ الصبر منفذ Linux لاستخدامه على أنظمة أخرى.
سيحتاج أي شخص يريد بدء استخدام الأداة المساعدة إلى معرفة كيفية تجميع ثنائيات Linux ، ولكن لا ينبغي أن يكون ذلك عقبة أمام الجمهور المستهدف للأداة. احتفالًا ، قال مارك روسينوفيتش ، مبتكر الحزمة ، إنه يمكن الآن تنزيل Sysinternals من خلال winget أو متجر Microsoft. أيضًا ، كما تعلم بالفعل ، تم إطلاق Sysmon للتو لنظام Linux ، برمز مفتوح المصدر.
كيفية تثبيت Sysmon على Linux؟
يتطلب إصدار Linux تثبيت SysinternalsEBPF ثم تجميع الأداة بواسطة المستخدم. الإرشادات الخاصة بهذا الأمر موجودة في صفحة Sysmon على GitHub.
على سبيل المثال ، تحتوي الأداة على طريقة تثبيت بسيطة إلى حد ما في Ubuntu ، نظرًا لتثبيتها ، فقط افتح Terminal واكتب:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
بينما لـ Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
أو في حالة Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
بعد اكتمال التثبيت ، يبدأ Sysmon for Linux في تسجيل أنشطة النظام في / var / log / syslog. لا تنطبق بعض الأحداث التي تم تسجيلها بواسطة الأداة على Linux. الخبر السار هو أنه يمكن تكوين Sysmon لتسجيل ما يراه المسؤول فقط ذا صلة.
يمكنك بدء البرنامج والحصول على بناء الجملة للأوامر القابلة للاستخدام. للقيام بذلك ، عليهم ببساطة كتابة:
sysmon -h
يمكنك بعد ذلك قبول شروط الاستخدام عن طريق الكتابة
sysmon -accepteula
Sysmon هي أداة قوية تم استخدامها منذ فترة طويلة في Windows لتسليط الضوء على أسباب السلوك الشاذ المكتشف على مستوى التطبيق أو داخل الشبكة المحلية.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك التحقق من التفاصيل في الرابط التالي.