微软发布了 Windows 系统监控工具 Sysmon 的 Linux 开源版本,允许 Linux 管理员监控设备的恶意活动。
System Monitor(Sysmon)是一个系统服务和设备驱动程序,一旦安装在系统上,就会在系统重启时保持驻留,以监控并记录系统活动到事件日志。它提供有关进程创建、网络连接和文件创建时间变化的详细信息。通过使用事件收集或 SIEM 代理收集它产生的事件,并随后对其进行分析,用户可以识别恶意或异常活动。
需要注意的是,Sysmon 不提供对其生成的事件的分析,也不试图保护或隐藏自己不被攻击者发现,其多功能性来自于创建自定义配置文件的能力。与 Windows 版的 Sysmon 不同,Linux 用户需要自己编译该程序,并确保他们拥有所有必要的依赖,包括首先需要安装 SysinternalsEBPF 项目。
关于 Linux 版 Sysmon 项目安装、配置,其 GitHub 页面上提供了详细说明。
猜你喜欢:暂无回复。