Microsoft-ek Sysmon System Monitor-en kode irekiko bertsioa kaleratu zuen Linuxerako

Microsoft-ek batez ere aplikazioak eta zerbitzuak ekoizten dituen bitartean diseinatuta zure sistema propioarekin erabiltzeko Windows funtzionatzen, urteetan zehar konpainia macOS ez ezik Linux ere hartu du. Duela gutxi Windows 11 dendan Linuxerako Windows azpisistema abiarazi ostean, Microsoft-ek beste tresna bat kaleratu berri du Linux erabiltzaileentzat.

Eta Microsoft-ek Sysmon-en Linuxerako bertsio bat kaleratu berri duela, Windows sistema kontrolatzeko tresna. Sysmon Microsoft-ek mantentzen duen Sysinternals bildumako tresnetako bat besterik ez da, erabiltzaileei gero erregistratu daitezkeen jarduera susmagarrien seinaleen sistemak kontrolatzeko gaitasuna ematen diena.

Sistema-administratzaileek pertsonaliza dezaketen tresna oso konfiguragarria da hau kezkagarriak izan daitezkeen jarduera mota oso zehatzak aurkitzeko.

Sysmon System Monitor-ari buruz

Sysmon ezagutzen ez dutenentzat, hau jakin behar duzu sistema-zerbitzu gisa instalatzen den programa da eta martxan jarraitzen du ondorengo berrabiarazi ondoren ere.

Gertaeren erregistroan sistemaren jarduera kontrolatzeko eta erregistratzeko aukera ematen du Windows eta prozesuak sortzeari, sareko konexioei, fitxategiak sortzeari eta aldatzeari buruzko informazio zehatza eskaintzen du. Erabiltzen ari den makinan Sysmon-ek sortutako gertaerak aztertuz, administratzaile batek jarduera anormalak edo gaiztoak identifikatu ditzake, sistema nola erabili den ulertu, intrusitzaileek sisteman nola jokatu duten ulertu.

Sysmon-en Linux bertsioa erabilgarritasun berezi batetik urrun dago, eta dagoeneko lanpetuta dagoen eremu batean arreta irabazteko borrokan aurkitzen du bere burua. Hala ere, Windows-erako Sysmon erabiltzen duten eta Linux ataka beste sistemetan erabiltzeko irrikaz egon diren sistema-administratzaileen artean aurkituko dituzu zaleak.

Utilitatearekin hasi nahi duenak Linux bitarrak nola konpilatzen jakin beharko du, baina horrek ez luke oztopo izan behar tresnaren xede-publikoarentzat. Ospakizunean, Mark Russinovich-ek, paketearen sortzaileak, esan zuen Sysinternals orain winget edo Microsoft Store-ren bidez deskargatu daitekeela. Gainera, dagoeneko dakizuenez, Sysmon Linuxerako kaleratu berri da, kode irekiarekin.

Nola instalatu Sysmon Linux-en?

Linux bertsioak SysinternalsEBPF instalatzea eta, ondoren, erabiltzaileak tresna konpilatzea eskatzen du. Horretarako argibideak GitHub-eko Sysmon orrian daude.

Esate baterako, tresnak instalazio metodo nahiko sinplea du Ubuntun, instalatzeko, terminal bat ireki eta idatzi:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev

sudo apt-get update
sudo apt-get install sysmonforlinux

Debian 11rako berriz:

wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list

sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux

Edo Fedora 34-ren kasuan:

sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux

Instalazioa amaitu ondoren, Linux-erako Sysmon sistemaren jarduerak erregistratzen hasten da / var / log / syslog-en. Tresnak erregistratutako gertaera batzuk ez dira Linux-i aplikatzen. Berri ona da Sysmon administratzaileak garrantzitsutzat jotzen duena soilik grabatzeko konfigura daitekeela.

Programa abiarazi eta komando erabilgarrien sintaxia lor dezakezu. Horretarako, idatzi besterik ez dute:

sysmon -h

Ondoren, erabilera-baldintzak onartu ditzakezu idatziz

sysmon -accepteula

Sysmon Windows-en aspalditik erabiltzen den tresna indartsua da, aplikazio mailan edo sare lokalean detektatu diren portaera anormalen arrazoiak nabarmentzeko.

Bukatzeko Horri buruz gehiago jakiteko interesa baduzu, xehetasunak kontsultatu ditzakezu Hurrengo estekan.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko.

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

bool (egia)