Ενώ η Microsoft παράγει κυρίως εφαρμογές και υπηρεσίες σχεδιασμένο για χρήση με το δικό σας σύστημα Λειτουργία Windows, με τα χρόνια την εταιρεία έχει υιοθετήσει όχι μόνο το macOS αλλά και το Linux. Αφού κυκλοφόρησε πρόσφατα το Windows Subsystem for Linux στο κατάστημα των Windows 11, η Microsoft μόλις κυκλοφόρησε ένα άλλο από τα εργαλεία της για χρήστες Linux.
Και είναι ότι η Microsoft μόλις κυκλοφόρησε μια έκδοση για Linux του Sysmon, το εργαλείο παρακολούθησης συστήματος των Windows. Το Sysmon είναι απλώς ένα από τα εργαλεία της συλλογής Sysinternals που διατηρεί η Microsoft, δίνοντας στους χρήστες τη δυνατότητα να παρακολουθούν συστήματα για ενδείξεις ύποπτης δραστηριότητας που μπορούν στη συνέχεια να καταγραφούν.
Αυτό είναι ένα εργαλείο υψηλής παραμετροποίησης που οι διαχειριστές συστήματος μπορούν να προσαρμόσουν για να βρουν πολύ συγκεκριμένους τύπους δραστηριότητας που μπορεί να προκαλούν ανησυχία.
Σχετικά με το Sysmon System Monitor
Για όσους δεν είναι εξοικειωμένοι με το Sysmon, θα πρέπει να ξέρετε ότι αυτό είναι ένα πρόγραμμα που εγκαθίσταται ως υπηρεσία συστήματος και συνεχίζει να λειτουργεί ακόμα και μετά από επόμενες επανεκκινήσεις.
Επιτρέπει την παρακολούθηση και την καταγραφή της δραστηριότητας του συστήματος στο αρχείο καταγραφής συμβάντων Windows και παρέχει λεπτομερείς πληροφορίες σχετικά με τη δημιουργία διαδικασιών, τις συνδέσεις δικτύου, τη δημιουργία και την τροποποίηση αρχείων. Εξετάζοντας τα συμβάντα που δημιουργούνται από το Sysmon στο μηχάνημα που χρησιμοποιείται, ένας διαχειριστής μπορεί να εντοπίσει ανώμαλη ή κακόβουλη δραστηριότητα, να κατανοήσει πώς χρησιμοποιήθηκε το σύστημα, να κατανοήσει πώς ενήργησαν οι εισβολείς στο σύστημα.
Η έκδοση Linux του Sysmon απέχει πολύ από ένα μοναδικό βοηθητικό πρόγραμμα, και βρίσκει τον εαυτό του να παλεύει να κερδίσει την προσοχή σε έναν ήδη πολυάσχολο τομέα. Ωστόσο, θα βρείτε φανατικούς μεταξύ των διαχειριστών συστημάτων που χρησιμοποιούν ήδη το Sysmon για Windows και περίμεναν με ανυπομονησία μια θύρα Linux για χρήση σε άλλα συστήματα.
Όποιος θέλει να ξεκινήσει με το βοηθητικό πρόγραμμα θα πρέπει να γνωρίζει πώς να μεταγλωττίζει δυαδικά αρχεία Linux, αλλά αυτό δεν πρέπει να αποτελεί εμπόδιο για το κοινό-στόχο του εργαλείου. Σε εορτασμό, ο Mark Russinovich, δημιουργός του πακέτου, είπε ότι το Sysinternals μπορεί πλέον να ληφθεί μέσω του winget ή του Microsoft Store. Επίσης, όπως ήδη γνωρίζετε, το Sysmon μόλις κυκλοφόρησε για Linux, με ανοιχτό κώδικα.
Πώς να εγκαταστήσετε το Sysmon στο Linux;
Η έκδοση Linux απαιτεί την εγκατάσταση του SysinternalsEBPF και στη συνέχεια τη μεταγλώττιση του εργαλείου από τον χρήστη. Οδηγίες για αυτό υπάρχουν στη σελίδα Sysmon στο GitHub.
Για παράδειγμα, το εργαλείο έχει μια αρκετά απλή μέθοδο εγκατάστασης στο Ubuntu, αφού για να το εγκαταστήσετε, απλά ανοίξτε ένα τερματικό και πληκτρολογήστε:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Ενώ για το Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Ή στην περίπτωση του Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Μετά την ολοκλήρωση της εγκατάστασης, το Sysmon για Linux αρχίζει να καταγράφει τις δραστηριότητες του συστήματος στο / var / log / syslog. Ορισμένα από τα συμβάντα που καταγράφονται από το εργαλείο δεν ισχύουν για το Linux. Τα καλά νέα είναι ότι το Sysmon μπορεί να ρυθμιστεί ώστε να καταγράφει μόνο ό,τι ο διαχειριστής κρίνει σχετικό.
Μπορείτε να ξεκινήσετε το πρόγραμμα και να λάβετε τη σύνταξη για τις εντολές που μπορούν να χρησιμοποιηθούν. Για να γίνει αυτό, απλά πληκτρολογούν:
sysmon -h
Στη συνέχεια, μπορείτε να αποδεχτείτε τους όρους χρήσης πληκτρολογώντας
sysmon -accepteula
Το Sysmon είναι ένα ισχυρό εργαλείο που χρησιμοποιείται εδώ και καιρό στα Windows για την επισήμανση των αιτιών της μη φυσιολογικής συμπεριφοράς που εντοπίζονται σε επίπεδο εφαρμογής ή εντός του τοπικού δικτύου.
Τελικά Εάν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.