Microsoft выпустила Linux-версию очень популярной утилиты системного мониторинга Sysmon для Windows, позволяющую администраторам Linux отслеживать устройства на предмет вредоносной активности.
Для тех, кто не знаком с Sysmon (он же Системный монитор), это инструмент Sysinternals, который отслеживает систему на предмет вредоносной активности, а затем записывает любое обнаруженное поведение в файлы системного журнала.
Универсальность Sysmon проистекает из способности создавать пользовательские файлы конфигурации, которые администраторы могут использовать для отслеживания определенных системных событий, которые могут указывать на злонамеренную активность в системе.
Sysmon перенесен на Linux
Сегодня Марк Руссинович из Microsoft, соучредитель пакета служебных программ Sysinternals, объявил, что Microsoft выпустила Sysmon для Linux как проект с открытым исходным кодом на GitHub .В отличие от Sysmon для Windows, пользователи Linux должны будут сами скомпилировать программу и убедиться, что у них есть все необходимые зависимости, с инструкциями, представленными на странице проекта GitHub.
Важно отметить, что для компиляции Sysmon вы должны сначала также установить проект SysinternalsEBPF .
После компиляции Sysmon вы можете увидеть файл справки, набрав его sudo ./sysmon -h, как показано на снимке экрана ниже.
Файл справки Sysmon для Linux
Источник: BleepingComputer
Чтобы использовать программу, вам сначала нужно принять лицензионное соглашение с конечным пользователем с помощью следующей команды:
sudo ./sysmon -accepteula
Затем вы можете запустить Sysmon с файлом конфигурации или без него, используя одну из следующих команд:
Without configuration file:
sudo ./sysmon -i
With configuration file:
sudo ./sysmon -i CONFIG_FILE
Чтобы создать свой собственный файл конфигурации Sysmon, вам нужно будет использовать ./sysmon -sкоманду, чтобы просмотреть схему конфигурации текущей версии и узнать, какие директивы доступны.
Чтобы узнать больше о создании файла конфигурации Sysmon, вы можете обратиться к официальной документации или использовать шаблон SwiftOnSecurity в качестве примера.
Базовый файл конфигурации Windows Sysmon, который включает ведение журнала DNSQuery.
После запуска Sysmon начнет записывать события в /var/log/syslogфайл. Если вы не указали файл конфигурации для ограничения того, что регистрируется, вы обнаружите, что ваш файл системного журнала быстро увеличивается по мере запуска и завершения новых процессов.
Например, на скриншоте ниже вы можете увидеть событие, показывающее, что команда adduser завершается после того, как я использовал ее для создания нового пользователя.
События Sysmon регистрируются в / var / log / syslog
Источник: BleepingComputer
Чтобы упростить фильтрацию журналов для определенных событий, вы можете использовать утилиту sysmonLogView для отображения событий, которые вы ищете.
Идентификаторы текущих событий, которые Sysmon для Linux может регистрировать, перечислены ниже:
- 1: SYSMONEVENT_CREATE_PROCESS
- 2: SYSMONEVENT_FILE_TIME
- 3: SYSMONEVENT_NETWORK_CONNECT
- 4: SYSMONEVENT_SERVICE_STATE_CHANGE
- 5: SYSMONEVENT_PROCESS_TERMINATE
- 6: SYSMONEVENT_DRIVER_LOAD
- 7: SYSMONEVENT_IMAGE_LOAD
- 8: SYSMONEVENT_CREATE_REMOTE_THREAD
- 9: SYSMONEVENT_RAWACCESS_READ
- 10: SYSMONEVENT_ACCESS_PROCESS
- 11: SYSMONEVENT_FILE_CREATE
- 12: SYSMONEVENT_REG_KEY
- 13: SYSMONEVENT_REG_SETVALUE
- 14: SYSMONEVENT_REG_NAME
- 15: SYSMONEVENT_FILE_CREATE_STREAM_HASH
- 16: SYSMONEVENT_SERVICE_CONFIGURATION_CHANGE
- 17: SYSMONEVENT_CREATE_NAMEDPIPE
- 18: SYSMONEVENT_CONNECT_NAMEDPIPE
- 19: SYSMONEVENT_WMI_FILTER
- 20: SYSMONEVENT_WMI_CONSUMER
- 21: SYSMONEVENT_WMI_BINDING
- 22: SYSMONEVENT_DNS_QUERY
- 23: SYSMONEVENT_FILE_DELETE
- 24: SYSMONEVENT_CLIPBOARD
- 25: SYSMONEVENT_PROCESS_IMAGE_TAMPERING
- 26: SYSMONEVENT_FILE_DELETE_DETECTED
- 255: SYSMONEVENT_ERROR
Sysmon - это мощный инструмент, широко используемый в средах Windows как часть набора инструментов безопасности организации.
С добавлением Linux целый новый сегмент системных администраторов может использовать его для обеспечения бесплатного мониторинга системы на предмет вредоносной активности.
Перевод - Google
Bleeping Computer