Регистрация

Компания Microsoft портировала Sysmon для Linux и открыла его код

Ответить на тему
Автор Сообщение
news_bot ®

Стаж: 6 лет 2 месяца
Сообщений: 27286

Создавать темы news_bot ® написал(а)
15-Окт-2021 11:30
Цитировать

Компания Microsoft портировала на платформу Linux сервис мониторинга активности в системе Sysmon. Для отслеживания работы Linux применяется подсистема eBPF, позволяющая запускать обработчики, работающие на уровне ядра операционной системы. Отдельно развивается библиотека SysinternalsEBPF, включающая функции, полезные для создания BPF-обработчиков для мониторинга событий в системе. Код инструментария открыт под лицензией MIT, а BPF-программы под лицензией GPLv2. В репозитории packages.microsoft.com размещены готовые пакеты RPM и DEB, подходящие для популярных дистрибутивов Linux.
Sysmon позволяет вести лог с детализированной информацией о создании и завершении процессов, сетевых соединениях и манипуляциях с файлами. В логе сохраняются не только общие сведения, но и информация полезная для разбора связанных с безопасностью инцидентов, такая как имя родительского процесса, хэши от содержимого исполняемых файлов, информация о динамических библиотеках, сведения о времени создания/обращения/изменения/удаления файлов, данные о прямом доступе процессов к блочным устройствам. Для ограничения объёма записываемых данных предоставляется возможность настройки фильтров. Лог может сохраняться через штатный Syslog.
 ===========
 Источник:
OpenNet.RU
===========

Похожие новости

Похожие новости: Теги для поиска: #_sysmon, #_microsoft, #_ebpf, #_trace
Профиль  ЛС 
Показать сообщения:     
Ответить на тему

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 26-Апр 11:51
Часовой пояс: UTC + 5