ในขณะที่ Microsoft ผลิตแอปพลิเคชันและบริการเป็นหลัก ออกแบบ เพื่อใช้กับระบบของคุณเอง ระบบปฏิบัติการ Windows, ในช่วงหลายปีที่ผ่านมา บริษัท ได้นำมาใช้ไม่เพียง แต่ macOS แต่ยังรวมถึง Linux. หลังจากเพิ่งเปิดตัวระบบย่อย Windows สำหรับ Linux ในร้านค้า Windows 11 Microsoft ได้เปิดตัวเครื่องมืออื่นสำหรับผู้ใช้ Linux
และนั่นก็คือ Microsoft เพิ่งเปิดตัวเวอร์ชันสำหรับ Linux ของ Sysmon, เครื่องมือตรวจสอบระบบ Windows Sysmon เป็นเพียงหนึ่งในเครื่องมือในคอลเลกชัน Sysinternals ที่ดูแลโดย Microsoft ทำให้ผู้ใช้สามารถตรวจสอบระบบเพื่อหาสัญญาณของกิจกรรมที่น่าสงสัยที่สามารถบันทึกได้
นี่เป็นเครื่องมือที่กำหนดค่าได้สูงซึ่งผู้ดูแลระบบสามารถปรับแต่งเพื่อค้นหาประเภทของกิจกรรมที่อาจเป็นปัญหาได้
เกี่ยวกับการตรวจสอบระบบ Sysmon
สำหรับผู้ที่ไม่คุ้นเคยกับ Sysmon คุณควรรู้ว่าสิ่งนี้ เป็นโปรแกรมที่ติดตั้งเป็นบริการระบบ และยังคงทำงานต่อไปแม้หลังจากรีบูตครั้งต่อๆ ไป
อนุญาตให้ตรวจสอบและบันทึกกิจกรรมของระบบในบันทึกเหตุการณ์ Windows และให้ข้อมูลโดยละเอียดเกี่ยวกับการสร้างกระบวนการ การเชื่อมต่อเครือข่าย การสร้างและการแก้ไขไฟล์ การตรวจสอบเหตุการณ์ที่สร้างโดย Sysmon บนเครื่องที่ใช้งาน ผู้ดูแลระบบสามารถระบุกิจกรรมที่ผิดปกติหรือเป็นอันตราย ทำความเข้าใจว่าระบบถูกใช้งานอย่างไร ทำความเข้าใจว่าผู้บุกรุกดำเนินการอย่างไรกับระบบ
Sysmon เวอร์ชัน Linux นั้นยังห่างไกลจากยูทิลิตี้ที่ไม่เหมือนใครและเขาพบว่าตัวเองกำลังดิ้นรนเพื่อเรียกร้องความสนใจในสนามที่ยุ่งอยู่แล้ว อย่างไรก็ตาม คุณจะได้พบกับแฟนๆ ในหมู่ผู้ดูแลระบบที่ใช้ Sysmon สำหรับ Windows อยู่แล้ว และรอคอยพอร์ต Linux เพื่อใช้งานบนระบบอื่นอย่างใจจดใจจ่อ
ใครก็ตามที่ต้องการเริ่มต้นใช้งานยูทิลิตี้นี้จะต้องรู้วิธีการคอมไพล์ไบนารีของลินุกซ์ แต่นั่นก็ไม่ควรจะเป็นอุปสรรคต่อกลุ่มเป้าหมายของเครื่องมือ ในการเฉลิมฉลอง Mark Russinovich ผู้สร้างแพ็คเกจกล่าวว่าขณะนี้ Sysinternals สามารถดาวน์โหลดผ่าน winget หรือ Microsoft Store อย่างที่คุณรู้อยู่แล้วว่า Sysmon เพิ่งเปิดตัวสำหรับ Linux พร้อมโอเพ่นซอร์สโค้ด
จะติดตั้ง Sysmon บน Linux ได้อย่างไร?
เวอร์ชัน Linux ต้องมีการติดตั้ง SysinternalsEBPF จากนั้นจึงรวบรวมเครื่องมือโดยผู้ใช้ คำแนะนำสำหรับสิ่งนี้อยู่ในหน้า Sysmon บน GitHub
ตัวอย่างเช่น เครื่องมือนี้มีวิธีการติดตั้งที่ค่อนข้างง่ายใน Ubuntu เนื่องจากในการติดตั้ง เพียงแค่เปิดเทอร์มินัลแล้วพิมพ์:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
ในขณะที่สำหรับ Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
หรือในกรณีของ Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
หลังจากการติดตั้งเสร็จสิ้น Sysmon สำหรับ Linux จะเริ่มบันทึกกิจกรรมของระบบใน / var / log / syslog เหตุการณ์บางอย่างที่บันทึกโดยเครื่องมือใช้ไม่ได้กับ Linux ข่าวดีก็คือ Sysmon สามารถกำหนดค่าให้บันทึกเฉพาะสิ่งที่ผู้ดูแลระบบเห็นว่าเกี่ยวข้องเท่านั้น
คุณสามารถเริ่มโปรแกรมและรับไวยากรณ์ของคำสั่งที่ใช้งานได้ เมื่อต้องการทำเช่นนี้ พวกเขาเพียงแค่พิมพ์:
sysmon -h
จากนั้นคุณสามารถยอมรับเงื่อนไขการใช้งานโดยพิมพ์
sysmon -accepteula
Sysmon เป็นเครื่องมือที่มีประสิทธิภาพซึ่งใช้ใน Windows มาอย่างยาวนานเพื่อเน้นถึงสาเหตุของพฤติกรรมผิดปกติที่ตรวจพบในระดับแอปพลิเคชันหรือภายในเครือข่ายท้องถิ่น
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม คุณสามารถตรวจสอบรายละเอียด ในลิงค์ต่อไปนี้.