Тоді як Microsoft в основному виробляє програми та послуги розроблений використовувати з власною системою операційна Windows, протягом багатьох років компанії перейняв не тільки macOS, а й Linux. Після нещодавнього запуску підсистеми Windows для Linux у магазині Windows 11, Microsoft щойно випустила ще один зі своїх інструментів для користувачів Linux.
І що Microsoft щойно випустила версію Sysmon для Linux, інструмент моніторингу системи Windows. Sysmon — це просто один із інструментів у колекції Sysinternals, яку підтримує Microsoft, що дає користувачам можливість відстежувати в системах ознаки підозрілої діяльності, які потім можна зареєструвати.
Це добре настроюваний інструмент, який системні адміністратори можуть налаштувати, щоб знайти дуже конкретні види діяльності, які можуть викликати занепокоєння.
Про Sysmon System Monitor
Для тих, хто не знайомий із Sysmon, ви повинні знати, що це це програма, яка встановлюється як системна служба і він продовжує працювати навіть після наступних перезавантажень.
Дозволяє відстежувати та записувати активність системи в журналі подій Windows і надає детальну інформацію про створення процесів, мережевих підключень, створення та редагування файлів. Досліджуючи події, які генерує Sysmon на використовуваній машині, адміністратор може визначити аномальну чи шкідливу активність, зрозуміти, як використовувалася система, зрозуміти, як зловмисники діяли в системі.
Версія Sysmon для Linux далеко не унікальна утиліта, і йому важко привернути увагу в і без того зайнятій сфері. Однак ви знайдете шанувальників серед системних адміністраторів, які вже використовують Sysmon для Windows і з нетерпінням чекають порту Linux для використання в інших системах.
Кожен, хто хоче розпочати роботу з утилітою, повинен знати, як компілювати двійкові файли Linux, але це не повинно бути перешкодою для цільової аудиторії інструменту. На святкуванні Марк Руссінович, творець пакету, сказав, що Sysinternals тепер можна завантажити через winget або Microsoft Store. Крім того, як ви вже знаєте, щойно було випущено Sysmon для Linux з відкритим вихідним кодом.
Як встановити Sysmon на Linux?
Версія для Linux вимагає встановлення SysinternalsEBPF, а потім компіляції інструменту користувачем. Інструкції для цього є на сторінці Sysmon на GitHub.
Наприклад, інструмент має досить простий метод встановлення в Ubuntu, оскільки для його встановлення просто відкрийте термінал і введіть:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Тоді як для Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Або у випадку Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Після завершення інсталяції Sysmon для Linux починає реєструвати системні дії в /var/log/syslog. Деякі події, зареєстровані інструментом, не стосуються Linux. Хороша новина полягає в тому, що Sysmon можна налаштувати на запис лише того, що адміністратор вважає доречним.
Ви можете запустити програму та отримати синтаксис корисних команд. Для цього їм потрібно просто ввести:
sysmon -h
Потім ви можете прийняти умови використання, ввівши
sysmon -accepteula
Sysmon — це потужний інструмент, який уже давно використовується в Windows для виявлення причин виявленої аномальної поведінки на рівні програми або в локальній мережі.
В кінці кінців Якщо вам цікаво дізнатись більше про це, Ви можете перевірити деталі У наступному посиланні.