-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Microsoft wydał linuxową wersję monitora zdarzeń Sysmon z okazji 25-lecia istnienia oprogramowania

15 października 2021, 13:38 | W biegu | komentarze 2

Jeśli pracujecie jako administratorzy lub działacie w branży cybersecurity, to z pewnością zetknęliście się z monitorem zdarzeń Sysmon, czyli darmowym narzędziem z zestawu Sysinternals firmy Microsoft, służącym do monitorowania logów systemowych i aplikacji w systemie Windows. Z okazji 25-lecia istnienia zestawu Sysinternals firma postanowiła jednak wydać linuxową wersję oprogramowania Sysmon:

Nowe narzędzie wykorzystuje technologię eBPF, która pozwala na uruchamianie programów w piaskownicy (sandbox) jądra systemu operacyjnego:

W przypadku systemu Ubuntu, aby zainstalować Sysmon, należy skorzystać z następujących poleceń:

  1. Instalacja pakietów wymaganych przez sysinternalsebpf i sysmonforlinux:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb

sudo dpkg -i packages-microsoft-prod.deb

  1. Instalacja sysinternalsebpf i sysmonforlinux:

sudo apt-get update

sudo apt-get install sysinternalsebpf

sudo apt-get install sysmonforlinux

  1. Sprawdzenie, czy instalacja przebiegła pomyślnie:

sysmon -h

Jeśli instalacja się powiodła, to powyższa komenda wyświetli instrukcję obsługi programu:

I gotowe! Aby uruchomić i ustawić Sysmon jako usługę (service), wystarczy wpisać polecenie “sudo sysmon -accepteula -i config.xml”:

Zdarzenia udokumentowane przez Sysmon można przeglądać za pomocą Syslog:

tail -f /var/log/syslog

Więcej informacji na temat linuxowego Sysmona znajdziecie na oficjalnej stronie Microsoftu.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. dżi

    Jak tak dalej pójdzie, to Windows 13 będzie na Linuxie.

    Odpowiedz
    • Damazy

      Hahaha… biorę popcorn i czekam ( :

      Odpowiedz

Odpowiedz