Podczas gdy Microsoft produkuje głównie aplikacje i usługi zaprojektowany do użytku z własnym systemem działanie systemu Windows, przez lata firma przyjął nie tylko macOS, ale także Linux. Po niedawnym uruchomieniu podsystemu Windows dla systemu Linux w sklepie Windows 11 firma Microsoft wydała właśnie kolejne ze swoich narzędzi dla użytkowników systemu Linux.
I jest to, że Microsoft właśnie wydał wersję dla systemu Linux Sysmon, narzędzie do monitorowania systemu Windows. Sysmon to po prostu jedno z narzędzi w kolekcji Sysinternals utrzymywanej przez Microsoft, dającej użytkownikom możliwość monitorowania systemów pod kątem oznak podejrzanej aktywności, które mogą być następnie rejestrowane.
Jest to wysoce konfigurowalne narzędzie, które administratorzy systemu mogą dostosować, aby znaleźć bardzo specyficzne typy aktywności, które mogą budzić obawy.
Informacje o monitorze systemu Sysmon
Dla tych, którzy nie znają Sysmon, powinniście wiedzieć, że to jest to program instalowany jako usługa systemowa i działa nawet po kolejnych ponownym uruchomieniu.
Umożliwia monitorowanie i rejestrowanie aktywności systemu w dzienniku zdarzeń Windows i dostarcza szczegółowych informacji na temat tworzenia procesów, połączeń sieciowych, tworzenia i modyfikowania plików. Analizując zdarzenia generowane przez Sysmon na używanym komputerze, administrator może zidentyfikować anomalną lub złośliwą aktywność, zrozumieć, w jaki sposób system był używany, zrozumieć, jak intruzi działali w systemie.
Wersja Sysmon dla systemu Linux jest daleka od unikalnego narzędzia, a on stara się zwrócić na siebie uwagę na i tak już zajętym polu. Jednak wśród administratorów systemu, którzy już używają Sysmon dla Windows i niecierpliwie czekają na port Linux do użycia w innych systemach, znajdziesz fanatyków.
Każdy, kto chce rozpocząć pracę z narzędziem, będzie musiał wiedzieć, jak kompilować binaria Linuksa, ale nie powinno to stanowić przeszkody dla docelowych odbiorców narzędzia. Z tej okazji Mark Russinovich, twórca pakietu, powiedział, że Sysinternals można teraz pobrać za pośrednictwem wingeta lub Microsoft Store. Ponadto, jak już wiesz, Sysmon został właśnie wydany dla Linuksa z otwartym kodem źródłowym.
Jak zainstalować Sysmon w systemie Linux?
Wersja Linux wymaga instalacji SysinternalsEBPF, a następnie kompilacji narzędzia przez użytkownika. Instrukcje dotyczące tego znajdują się na stronie Sysmon w serwisie GitHub.
Na przykład narzędzie ma dość prostą metodę instalacji w Ubuntu, ponieważ aby je zainstalować, wystarczy otworzyć terminal i wpisać:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Podczas gdy dla Debiana 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Lub w przypadku Fedory 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Po zakończeniu instalacji Sysmon for Linux rozpoczyna rejestrowanie działań systemu w / var / log / syslog. Niektóre zdarzenia rejestrowane przez narzędzie nie dotyczą systemu Linux. Dobrą wiadomością jest to, że Sysmon można skonfigurować tak, aby rejestrował tylko to, co administrator uzna za istotne.
Możesz uruchomić program i uzyskać składnię użytecznych poleceń. Aby to zrobić, wystarczy wpisać:
sysmon -h
Następnie możesz zaakceptować warunki użytkowania, wpisując
sysmon -accepteula
Sysmon to potężne narzędzie, które od dawna jest używane w systemie Windows do wskazywania przyczyn nieprawidłowego zachowania wykrytego na poziomie aplikacji lub w sieci lokalnej.
W końcu Jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły W poniższym linku.