Mentre Microsoft produce principalmente applicazioni e servizi progettato da utilizzare con il proprio sistema Windows operativo, negli anni la compagnia ha adottato non solo macOS ma anche Linux. Dopo aver lanciato di recente il sottosistema Windows per Linux nello store di Windows 11, Microsoft ha appena rilasciato un altro dei suoi strumenti per gli utenti Linux.
Ed è che Microsoft ha appena rilasciato una versione per Linux di Sysmon, lo strumento di monitoraggio del sistema Windows. Sysmon è semplicemente uno degli strumenti della raccolta Sysinternals gestito da Microsoft, che offre agli utenti la possibilità di monitorare i sistemi per rilevare eventuali segni di attività sospette che possono essere registrati.
Si tratta di uno strumento altamente configurabile che gli amministratori di sistema possono personalizzare per trovare tipi di attività molto specifici che potrebbero destare preoccupazione.
Informazioni su Sysmon System Monitor
Per coloro che non hanno familiarità con Sysmon, dovresti sapere che questo è un programma che viene installato come servizio di sistema e continua a funzionare anche dopo i successivi riavvii.
Consente il monitoraggio e la registrazione dell'attività del sistema nel registro eventi Windows e fornisce informazioni dettagliate sulla creazione di processi, connessioni di rete, creazione e modifica di file. Esaminando gli eventi generati da Sysmon sulla macchina in uso, un amministratore può identificare attività anomale o dannose, capire come è stato utilizzato il sistema, capire come hanno agito gli intrusi sul sistema.
La versione Linux di Sysmon è tutt'altro che un'utilità unica, e si ritrova a lottare per attirare l'attenzione in un campo già occupato. Tuttavia, troverai fanatici tra gli amministratori di sistema che già utilizzano Sysmon per Windows e hanno atteso con impazienza una porta Linux da utilizzare su altri sistemi.
Chiunque voglia iniziare con l'utilità dovrà sapere come compilare i binari Linux, ma questo non dovrebbe essere un ostacolo per il pubblico di destinazione dello strumento. Per festeggiare, Mark Russinovich, creatore del pacchetto, ha affermato che Sysinternals può ora essere scaricato tramite Winget o Microsoft Store. Inoltre, come già saprai, Sysmon è stato appena rilasciato per Linux, con codice open source.
Come installare Sysmon su Linux?
La versione Linux richiede l'installazione di SysinternalsEBPF e quindi la compilazione del tool da parte dell'utente. Le istruzioni per questo sono sulla pagina Sysmon su GitHub.
Ad esempio, lo strumento ha un metodo di installazione abbastanza semplice in Ubuntu, poiché per installarlo basta aprire un terminale e digitare:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Mentre per Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
O nel caso di Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Al termine dell'installazione, Sysmon per Linux inizia a registrare le attività di sistema in /var/log/syslog. Alcuni degli eventi registrati dallo strumento non si applicano a Linux. La buona notizia è che Sysmon può essere configurato per registrare solo ciò che l'amministratore ritiene rilevante.
Puoi avviare il programma e ottenere la sintassi per i comandi utilizzabili. Per fare ciò, digitano semplicemente:
sysmon -h
Puoi quindi accettare i termini di utilizzo digitando
sysmon -accepteula
Sysmon è un potente strumento che è stato a lungo utilizzato in Windows per evidenziare le cause di comportamenti anomali rilevati a livello di applicazione o all'interno della rete locale.
Infine Se sei interessato a saperne di più, puoi controllare i dettagli nel seguente link