Microsoft выпускает Linux-версию инструмента Windows Sysmon

17
Paytm получает одобрение регулирующих органов на крупнейший в истории Индии источник IPO

Microsoft выпустила Linux-версию очень популярной утилиты системного мониторинга Sysmon для Windows, позволяющую администраторам Linux отслеживать устройства на предмет вредоносной активности. 

Для тех, кто не знаком с Sysmon  (он же Системный монитор), это инструмент Sysinternals, который отслеживает систему на предмет вредоносной активности, а затем записывает любое обнаруженное поведение в файлы системного журнала.

Универсальность Sysmon проистекает из способности создавать пользовательские файлы конфигурации, которые администраторы могут использовать для отслеживания определенных системных событий, которые могут указывать на злонамеренную активность в системе.

Sysmon перенесен на Linux

Сегодня Марк Руссинович из Microsoft, соучредитель пакета служебных программ Sysinternals, объявил, что Microsoft выпустила Sysmon для Linux как проект с открытым исходным кодом на GitHub.

В отличие от Sysmon для Windows, пользователи Linux должны будут сами скомпилировать программу и убедиться, что у них есть все необходимые зависимости, с инструкциями, представленными на странице проекта GitHub.

Важно отметить, что для компиляции Sysmon вы должны сначала также установить проект SysinternalsEBPF.

После компиляции Sysmon вы можете увидеть файл справки, набрав его sudo ./sysmon -h

Чтобы использовать программу, вам сначала нужно принять лицензионное соглашение с конечным пользователем с помощью следующей команды:

sudo ./sysmon -accepteula

Затем вы можете запустить Sysmon с файлом конфигурации или без него, используя одну из следующих команд:

Without configuration file:

sudo ./sysmon -i

With configuration file:

sudo ./sysmon -i CONFIG_FILE

Чтобы создать свой собственный файл конфигурации Sysmon, вам нужно будет использовать ./sysmon -sкоманду, чтобы просмотреть схему конфигурации текущей версии и узнать, какие директивы доступны.

Чтобы узнать больше о создании файла конфигурации Sysmon, вы можете обратиться к официальной документации или использовать  шаблон SwiftOnSecurity  в качестве примера.

После запуска Sysmon начнет записывать события в /var/log/syslogфайл. Если вы не указали файл конфигурации для ограничения того, что регистрируется, вы обнаружите, что ваш файл системного журнала быстро увеличивается по мере запуска и завершения новых процессов.

Например, на скриншоте ниже вы можете увидеть событие, показывающее, что команда adduser завершается после того, как я использовал ее для создания нового пользователя.

Чтобы упростить фильтрацию журналов для определенных событий, вы можете использовать утилиту sysmonLogView для отображения событий, которые вы ищете.

Идентификаторы текущих событий, которые Sysmon для Linux может регистрировать, перечислены ниже:

  • 1: SYSMONEVENT_CREATE_PROCESS
  • 2: SYSMONEVENT_FILE_TIME
  • 3: SYSMONEVENT_NETWORK_CONNECT
  • 4: SYSMONEVENT_SERVICE_STATE_CHANGE
  • 5: SYSMONEVENT_PROCESS_TERMINATE
  • 6: SYSMONEVENT_DRIVER_LOAD
  • 7: SYSMONEVENT_IMAGE_LOAD
  • 8: SYSMONEVENT_CREATE_REMOTE_THREAD
  • 9: SYSMONEVENT_RAWACCESS_READ
  • 10: SYSMONEVENT_ACCESS_PROCESS
  • 11: SYSMONEVENT_FILE_CREATE
  • 12: SYSMONEVENT_REG_KEY
  • 13: SYSMONEVENT_REG_SETVALUE
  • 14: SYSMONEVENT_REG_NAME
  • 15: SYSMONEVENT_FILE_CREATE_STREAM_HASH
  • 16: SYSMONEVENT_SERVICE_CONFIGURATION_CHANGE
  • 17: SYSMONEVENT_CREATE_NAMEDPIPE
  • 18: SYSMONEVENT_CONNECT_NAMEDPIPE 
  • 19: SYSMONEVENT_WMI_FILTER
  • 20: SYSMONEVENT_WMI_CONSUMER
  • 21: SYSMONEVENT_WMI_BINDING
  • 22: SYSMONEVENT_DNS_QUERY
  • 23: SYSMONEVENT_FILE_DELETE
  • 24: SYSMONEVENT_CLIPBOARD
  • 25: SYSMONEVENT_PROCESS_IMAGE_TAMPERING
  • 26: SYSMONEVENT_FILE_DELETE_DETECTED
  • 255: SYSMONEVENT_ERROR

Как видите, многие из этих событий не относятся к Linux, например, события реестра или WMI, поэтому вам нужно будет соответствующим образом скорректировать конфигурацию.

Sysmon — это мощный инструмент, широко используемый в средах Windows как часть набора инструментов безопасности организации.

С добавлением Linux целый новый сегмент системных администраторов может использовать его для обеспечения бесплатного мониторинга системы на предмет вредоносной активности.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here