Si bé Microsoft produeix principalment aplicacions i serveis dissenyats per utilitzar amb el vostre propi sistema operatiu Windows, al llarg dels anys la companyia ha adoptat no només macOS sinó també Linux. Després de llançar recentment el Subsistema de Windows per a Linux a la botiga de Windows 11, Microsoft acaba alliberar una altra de les eines per als usuaris de Linux.
I és que Microsoft acaba de llançar una versió per a Linux de Sysmon, l'eina de monitorització del sistema de Windows. Sysmon és simplement una de les eines de la col·lecció Sysinternals que manté Microsoft, cosa que brinda als usuaris la capacitat de monitoritzar els sistemes a la recerca de signes d'activitat sospitosa que després es poden registrar.
Aquesta és una eina molt configurable que els administradors del sistema poden personalitzar per trobar tipus dactivitat molt específics que puguin ser motiu de preocupació.
Sobre Sysmon System Monitor
Per als que desconeixen de Sysmon, han de saber que aquest és un programa que s'instal·la com a servei del sistema i segueix executant-se fins i tot després de reinicis posteriors.
Permet monitoritzar i registrar l'activitat del sistema al registre d'esdeveniments de Windows i proporciona informació detallada sobre la creació de processos, connexions de xarxa, creació i modificació de fitxers. En examinar els esdeveniments generats per Sysmon a la màquina en ús, un administrador pot identificar activitat anòmala o maliciosa, comprendre com es va utilitzar el sistema, comprendre com van actuar els intrusos al sistema.
La versió per a Linux de Sysmon és lluny de ser una utilitat única, i es troba lluitant per cridar latenció en un camp ja ocupat. No obstant això, trobareu fanàtics entre els administradors de sistemes que ja usen Sysmon per a Windows i han estat esperant ansiosament un port de Linux per utilitzar en altres sistemes.
Qualsevol que vulgui començar a utilitzar la utilitat haurà de saber com compilar binaris de Linux, però això no hauria de ser un obstacle per al públic objectiu de l'eina. Com a celebració, Mark Russinovich, creador del paquet, va dir que Sysinternals ara es pot descarregar a través de winget o de Microsoft Store. A més, com ja saps, Sysmon acaba de ser llançat per a Linux, amb codi font obert.
Com instal·lar Sysmon a Linux?
La versió de Linux requereix la instal·lació de SysinternalsEBPF i després la compilació de l'eina per part de l'usuari. Les instruccions per això són a la pàgina de Sysmon a GitHub.
Per exemple l'eina té un mètode d'instal·lació força senzill a Ubuntu, ja que per instal·lar-la només cal obrir una terminal i teclejar:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Mentre que per al cas de Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
O en el cas de Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Un cop finalitzada la instal·lació, Sysmon per a Linux comença a registrar les activitats del sistema a /var/log/syslog. Alguns dels esdeveniments registrats per l'eina no s'apliquen al Linux. La bona notícia és que Sysmon es pot configurar per registrar només allò que l'administrador consideri rellevant.
Es pot iniciar el programa i obtenir la sintaxi de les ordres utilitzables. Per fer això, simplement han de teclejar:
sysmon -h
A continuació, podeu acceptar els termes d'ús escrivint
sysmon -accepteula
Sysmon és una eina poderosa que s'ha utilitzat durant molt de temps a Windows per ressaltar les causes del comportament anòmal detectat a nivell d'aplicació o dins de la xarxa local.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.