Microsoft ออก Sysmon สำหรับใช้บน Linux

แอดมินของเครื่อง Linux สามารถนำ Sysmon ของ Microsoft ไปใช้งานเพื่อดูพฤติกรรมและเก็บ Log สิ่งผิดปกติในระบบได้แล้ว

Sysmon หรือเครื่องมือยอดนิยมสำหรับงานด้าน System Monitoring ได้ถูกพัฒนาให้สามารถนำไปใช้บน Linux ได้แล้ว ทั้งนี้ความแตกต่างคือผู้ใช้ต้องมีการคอมไพล์โปรแกรม ซึ่งต้องแน่ใจว่ามี Dependencies ครบถ้วน โดยต้องติดตั้ง SysinternalEBPF Project เสียก่อน เมื่อเรียบร้อยแล้วก็สามารถเริ่มต้นกันด้วยคำสั่ง sudo ./sysmon -h อย่างไรก็ดี Log ที่ไร้การตั้งค่าที่ดีจะโตเร็วมาก ซึ่งมี Event มากมายที่สามารถเลือกเก็บได้เช่น SYSMONEVENT_CREATE_PROCESS, SYSMONEVENT_NETWORK_CONNECT เป็นต้น แต่ก็จะมีบางอย่างที่ Linux ไม่มีเช่น SYSMONEVENT_WMI_FILTER

สำหรับการตั้งค่าคอนฟิคสามารถศึกษาเพิ่มเติมได้ที่ https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon และ Sysmon Linux สามารถเข้าชมได้ที่ https://github.com/Sysinternals/SysinternalsEBPF

ที่มา :  https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-linux-version-of-the-windows-sysmon-tool/