Microsoft wydał linuxową wersję monitora zdarzeń Sysmon z okazji 25-lecia istnienia oprogramowania

Jeśli pracujecie jako administratorzy lub działacie w branży cybersecurity, to z pewnością zetknęliście się z monitorem zdarzeń Sysmon, czyli darmowym narzędziem z zestawu Sysinternals firmy Microsoft, służącym do monitorowania logów systemowych i aplikacji w systemie Windows. Z okazji 25-lecia istnienia zestawu Sysinternals firma postanowiła jednak wydać linuxową wersję oprogramowania Sysmon:

Nowe narzędzie wykorzystuje technologię eBPF, która pozwala na uruchamianie programów w piaskownicy (sandbox) jądra systemu operacyjnego:

W przypadku systemu Ubuntu, aby zainstalować Sysmon, należy skorzystać z następujących poleceń:

1. Instalacja pakietów wymaganych przez sysinternalsebpf i sysmonforlinux:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb

sudo dpkg -i packages-microsoft-prod.deb

2. Instalacja sysinternalsebpf i sysmonforlinux:

sudo apt-get update

sudo apt-get install sysinternalsebpf

sudo apt-get install sysmonforlinux

3. Sprawdzenie, czy instalacja przebiegła pomyślnie:

sysmon -h

Jeśli instalacja się powiodła, to powyższa komenda wyświetli instrukcję obsługi programu:

I gotowe! Aby uruchomić i ustawić Sysmon jako usługę (service), wystarczy wpisać polecenie “sudo sysmon -accepteula -i config.xml”:

Zdarzenia udokumentowane przez Sysmon można przeglądać za pomocą Syslog:

tail -f /var/log/syslog

Więcej informacji na temat linuxowego Sysmona znajdziecie na oficjalnej stronie Microsoftu.

~ Jakub Bielaszewski