Докато Microsoft произвежда предимно приложения и услуги проектирани да използвате със собствената си система Windows работещ, през годините компания е приел не само macOS, но и Linux. След като наскоро стартира подсистемата на Windows за Linux в магазина на Windows 11, Microsoft току-що пусна още един от своите инструменти за потребители на Linux.
И че Microsoft току-що пусна версия за Linux на Sysmon, инструмента за наблюдение на системата на Windows. Sysmon е просто един от инструментите в колекцията Sysinternals, поддържана от Microsoft, като дава на потребителите възможността да наблюдават системите за признаци на подозрителна дейност, които след това могат да бъдат регистрирани.
Това е силно конфигурируем инструмент, който системните администратори могат да персонализират, за да намерят много специфични видове дейности, които могат да бъдат притеснителни.
Относно Sysmon System Monitor
За тези, които не са запознати със Sysmon, трябва да знаете, че това това е програма, която се инсталира като системна услуга и продължава да работи дори след последващо рестартиране.
Позволява наблюдение и записване на системната активност в дневника на събитията Windows и предоставя подробна информация за създаване на процеси, мрежови връзки, създаване и модифициране на файлове. Чрез разглеждане на събитията, генерирани от Sysmon на използваната машина, администраторът може да идентифицира аномална или злонамерена дейност, да разбере как е била използвана системата, да разбере как са действали натрапниците в системата.
Linux версията на Sysmon далеч не е уникална помощна програма, и той се оказва, че се бори да привлече внимание в вече натоварена област. Въпреки това ще намерите фенове сред системните администратори, които вече използват Sysmon за Windows и с нетърпение чакат Linux порт, който да се използва в други системи.
Всеки, който иска да започне работа с помощната програма, ще трябва да знае как да компилира Linux двоични файлове, но това не трябва да е пречка за целевата аудитория на инструмента. В празнуване, Марк Русинович, създателят на пакета, каза, че Sysinternals вече могат да бъдат изтеглени чрез winget или Microsoft Store. Освен това, както вече знаете, Sysmon току-що беше пуснат за Linux с отворен код.
Как да инсталирам Sysmon на Linux?
Версията за Linux изисква инсталиране на SysinternalsEBPF и след това компилиране на инструмента от потребителя. Инструкции за това са на страницата на Sysmon в GitHub.
Например инструментът има доста прост метод за инсталиране в Ubuntu, тъй като за да го инсталирате, просто отворете терминал и напишете:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Докато за Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Или в случая на Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
След като инсталацията приключи, Sysmon за Linux започва да регистрира системните дейности в / var / log / syslog. Някои от събитията, регистрирани от инструмента, не се отнасят за Linux. Добрата новина е, че Sysmon може да бъде конфигуриран да записва само това, което администраторът счита за уместно.
Можете да стартирате програмата и да получите синтаксиса на използваемите команди. За да направят това, те просто трябва да напишат:
sysmon -h
След това можете да приемете условията за ползване, като напишете
sysmon -accepteula
Sysmon е мощен инструмент, който отдавна се използва в Windows, за да подчертае причините за открито аномално поведение на ниво приложение или в локалната мрежа.
Накрая Ако се интересувате да научите повече за това, можете да проверите подробностите В следващия линк.