A Microsoft lançou a versão de código aberto do Sysmon System Monitor para Linux

Darkcrizt

Minutos 4

Embora a Microsoft produza principalmente aplicativos e serviços projetado para usar com seu próprio sistema Windows operando, ao passar dos anos a companhia adotou não apenas o macOS, mas também o Linux. Depois de lançar recentemente o subsistema Windows para Linux na loja do Windows 11, a Microsoft acaba de lançar mais uma de suas ferramentas para usuários Linux.

E é que a Microsoft acaba de lançar uma versão para Linux do Sysmon, a ferramenta de monitoramento do sistema Windows. O Sysmon é simplesmente uma das ferramentas da coleção Sysinternals mantida pela Microsoft, dando aos usuários a capacidade de monitorar os sistemas em busca de sinais de atividades suspeitas que podem então ser registrados.

Esta é uma ferramenta altamente configurável que os administradores de sistema podem personalizar para encontrar tipos muito específicos de atividade que podem ser preocupantes.

Sobre o Sysmon System Monitor

Para aqueles que não estão familiarizados com o Sysmon, você deve saber que este é um programa que é instalado como um serviço do sistema e continua em execução mesmo após reinicializações subsequentes.

Permite o monitoramento e registro da atividade do sistema no log de eventos Windows e fornece informações detalhadas sobre a criação de processos, conexões de rede, criação e modificação de arquivos. Ao examinar os eventos gerados pelo Sysmon na máquina em uso, um administrador pode identificar atividades anômalas ou maliciosas, entender como o sistema foi usado, entender como os invasores agiram no sistema.

A versão Linux do Sysmon está longe de ser um utilitário único, e ele se encontra lutando para ganhar atenção em um campo já movimentado. No entanto, você encontrará fãs entre os administradores de sistema que já usam o Sysmon para Windows e estão esperando ansiosamente por uma porta Linux para usar em outros sistemas.

Quem quiser começar a usar o utilitário precisará saber como compilar os binários do Linux, mas isso não deve ser um obstáculo para o público-alvo da ferramenta. Em comemoração, Mark Russinovich, criador do pacote, disse que o Sysinternals agora pode ser baixado através do winget ou da Microsoft Store. Além disso, como você já sabe, Sysmon acaba de ser lançado para Linux, com código-fonte aberto.

Como instalar o Sysmon no Linux?

A versão Linux requer a instalação do SysinternalsEBPF e, em seguida, a compilação da ferramenta pelo usuário. As instruções para isso estão na página do Sysmon no GitHub.

Por exemplo, a ferramenta possui um método de instalação bastante simples no Ubuntu, pois para instalá-la, basta abrir um terminal e digitar:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev

sudo apt-get update
sudo apt-get install sysmonforlinux

Enquanto para Debian 11:

wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list

sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux

Ou no caso do Fedora 34:

sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux

Após a conclusão da instalação, o Sysmon para Linux começa a registrar as atividades do sistema em / var / log / syslog. Alguns dos eventos registrados pela ferramenta não se aplicam ao Linux. A boa notícia é que o Sysmon pode ser configurado para registrar apenas o que o administrador julgar relevante.

Você pode iniciar o programa e obter a sintaxe dos comandos utilizáveis. Para fazer isso, eles simplesmente digitam:

sysmon -h

Você pode então aceitar os termos de uso digitando

sysmon -accepteula

Sysmon é uma ferramenta poderosa que há muito é usada no Windows para destacar as causas do comportamento anormal detectado no nível do aplicativo ou na rede local.

Finalmente Se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.