Microsoft는 주로 응용 프로그램과 서비스를 생산하지만 설계 자신의 시스템과 함께 사용 윈도우 운영, 몇 년 동안 회사 macOS 뿐만 아니라 Linux도 채택했습니다.. 최근 Windows 11 스토어에서 Linux용 Windows 하위 시스템을 출시한 후 Microsoft는 Linux 사용자를 위한 또 다른 도구를 출시했습니다.
그리고 Microsoft가 Sysmon의 Linux용 버전을 출시했다는 것입니다. Windows 시스템 모니터링 도구. Sysmon은 Microsoft에서 유지 관리하는 Sysinternals 컬렉션의 도구 중 하나이므로 사용자가 시스템에서 의심스러운 활동의 징후를 모니터링하여 기록할 수 있습니다.
이것은 시스템 관리자가 관심을 가질 수 있는 매우 특정한 유형의 활동을 찾기 위해 사용자 정의할 수 있는 고도로 구성 가능한 도구입니다.
Sysmon 시스템 모니터 정보
Sysmon에 익숙하지 않은 분들은 이 점을 아셔야 합니다. 시스템 서비스로 설치되는 프로그램입니다. 이후 재부팅 후에도 계속 실행됩니다.
이벤트 로그에서 시스템 활동을 모니터링하고 기록할 수 있습니다. Windows 및 프로세스 생성, 네트워크 연결, 파일 생성 및 수정에 대한 자세한 정보를 제공합니다. 사용 중인 시스템에서 Sysmon이 생성한 이벤트를 검사하여 관리자는 비정상적이거나 악의적인 활동을 식별하고 시스템이 어떻게 사용되었는지 이해하고 침입자가 시스템에서 어떻게 행동했는지 이해할 수 있습니다.
Sysmon의 Linux 버전은 고유한 유틸리티와는 거리가 멉니다., 그리고 그는 이미 바쁜 분야에서 관심을 끌기 위해 고군분투하는 자신을 발견합니다. 그러나 이미 Windows용 Sysmon을 사용하고 다른 시스템에서 사용할 Linux 포트를 간절히 기다려온 시스템 관리자 사이에서 광신도를 찾을 수 있습니다.
이 유틸리티를 시작하려는 사람은 Linux 바이너리를 컴파일하는 방법을 알아야 하지만 이것이 도구의 대상 독자에게 장애물이 되어서는 안 됩니다. 이를 기념하여 패키지 제작자인 Mark Russinovich는 Sysinternals를 이제 winget 또는 Microsoft Store를 통해 다운로드할 수 있다고 말했습니다. 또한 이미 아시다시피 Sysmon은 오픈 소스 코드와 함께 Linux용으로 출시되었습니다.
Linux에 Sysmon을 설치하는 방법은 무엇입니까?
Linux 버전은 SysinternalsEBPF를 설치한 다음 사용자가 도구를 컴파일해야 합니다. 이에 대한 지침은 GitHub의 Sysmon 페이지에 있습니다.
예를 들어, 이 도구는 Ubuntu에서 매우 간단한 설치 방법을 가지고 있습니다. 설치하려면 터미널을 열고 다음을 입력하기만 하면 됩니다.
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
데비안 11의 경우:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
또는 Fedora 34의 경우:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
설치가 완료되면 Linux용 Sysmon은 /var/log/syslog에 시스템 활동을 기록하기 시작합니다. 도구가 기록하는 일부 이벤트는 Linux에 적용되지 않습니다. 좋은 소식은 관리자가 관련성이 있다고 생각하는 것만 기록하도록 Sysmon을 구성할 수 있다는 것입니다.
프로그램을 시작하고 사용 가능한 명령 구문을 얻을 수 있습니다. 이렇게 하려면 다음을 입력하기만 하면 됩니다.
sysmon -h
그런 다음 다음을 입력하여 사용 약관에 동의할 수 있습니다.
sysmon -accepteula
Sysmon은 응용 프로그램 수준 또는 로컬 네트워크 내에서 감지된 비정상적인 동작의 원인을 강조하기 위해 Windows에서 오랫동안 사용되어 온 강력한 도구입니다.
최종적으로 그것에 대해 더 많이 알고 싶다면 세부 사항을 확인할 수 있습니다 다음 링크에서.