Reklam
LinuxMicrosoftSecuritySoftware

Microsoft, Windows Sysmon aracının Linux sürümünü yayınladı

Microsoft, Linux başlığını seviyor

Microsoft, Windows için çok popüler Sysmon sistem izleme yardımcı programının bir Linux sürümünü yayımlayarak, Linux yöneticilerinin cihazları kötü amaçlı etkinliklere karşı izlemesine olanak tanır.

aşina olmayanlar için sistem (diğer adıyla Sistem Monitörü), sistemi kötü amaçlı etkinliklere karşı izleyen ve ardından algılanan tüm davranışları sistem günlük dosyalarına kaydeden bir Sysinternals aracıdır.

Sysmon’un çok yönlülüğü, yöneticilerin sistemde meydana gelen kötü niyetli etkinliği gösterebilecek belirli sistem olaylarını izlemek için kullanabilecekleri özel yapılandırma dosyaları oluşturma yeteneğinden gelir.

Sysmon Linux’a taşındı

Bugün, Microsoft’tan Mark Russinovich ve Sysinternals yardımcı program paketinin kurucularından biri, Microsoft’un Linux için Sysmon’u açık kaynak olarak yayınladığını duyurdu. GitHub’da proje.

Windows için Sysmon’dan farklı olarak, Linux kullanıcılarının programı kendileri derlemeleri ve projenin GitHub sayfasında sağlanan talimatlarla gerekli tüm bağımlılıklara sahip olduklarından emin olmaları gerekecektir.

Sysmon’u derlemek için önce aşağıdakileri de yüklemeniz gerektiğini unutmamak önemlidir. SysinternalsEBPF projesi.

Sysmon derlendikten sonra yazarak bir yardım dosyası görebilirsiniz. sudo ./sysmon -h, aşağıdaki ekran görüntüsünde gösterildiği gibi.

Linux için Sysmon yardım dosyası
Linux için Sysmon yardım dosyası
Kaynak: BleepingComputer

Programı kullanmak için önce aşağıdaki komutla son kullanıcı lisans sözleşmesini kabul etmeniz gerekir:

sudo ./sysmon -accepteula

Ardından, aşağıdaki komutlardan birini kullanarak bir yapılandırma dosyası olsun veya olmasın Sysmon’u başlatabilirsiniz:

Without configuration file:

sudo ./sysmon -i

With configuration file:

sudo ./sysmon -i CONFIG_FILE

Kendi Sysmon yapılandırma dosyanızı oluşturmak için kullanmanız gerekir. ./sysmon -s Geçerli sürümün yapılandırma şemasını görüntülemek ve hangi yönergelerin mevcut olduğunu görmek için komut.

Sysmon yapılandırma dosyası oluşturma hakkında daha fazla bilgi edinmek için şuraya başvurabilirsiniz: resmi belgeler ya da kullan SwiftOnSecurity’nin şablonu Örnek olarak.

DNSQuery Logging'i etkinleştiren temel Windows Sysmon yapılandırma dosyası
DNSQuery Logging’i etkinleştiren temel Windows Sysmon yapılandırma dosyası

Bir kez başlatıldığında, Sysmon olayları şuraya kaydetmeye başlayacaktır: /var/log/syslog dosya. Günlüğe kaydedilenleri kısıtlamak için bir yapılandırma dosyası belirtmediyseniz, yeni işlemler başlatılıp sonlandırıldıkça syslog dosyanızın hızla büyüdüğünü göreceksiniz.

Örneğin, aşağıdaki ekran görüntüsünde, yeni bir kullanıcı oluşturmak için kullandıktan sonra ‘adduser’ komutunun sonlandırıldığını gösteren bir olay görebilirsiniz.

/var/log/syslog'da günlüğe kaydedilen Sysmon olayları
/var/log/syslog’da günlüğe kaydedilen Sysmon olayları
Kaynak: BleepingComputer

Belirli olaylar için günlükleri filtrelemeyi kolaylaştırmak için sysmonLogView Aradığınız olayları göstermek için yardımcı program.

Sysmon for Linux’un günlüğe kaydedebildiği güncel olay kimlikleri aşağıda listelenmiştir:

  • 1: SYSMONEVENT_CREATE_PROCESS
  • 2: SYSMONEVENT_FILE_TIME
  • 3: SYSMONEVENT_NETWORK_CONNECT
  • 4: SYSMONEVENT_SERVICE_STATE_CHANGE
  • 5: SYSMONEVENT_PROCESS_SONLANDIRMA
  • 6: SYSMONEVENT_DRIVER_LOAD
  • 7: SYSMONEVENT_IMAGE_LOAD
  • 8: SYSMONEVENT_CREATE_REMOTE_THREAD
  • 9: SYSMONEVENT_RAWACCESS_READ
  • 10: SYSMONEVENT_ACCESS_PROCESS
  • 11: SYSMONEVENT_FILE_CREATE
  • 12: SYSMONEVENT_REG_KEY
  • 13: SYSMONEVENT_REG_SETVALUE
  • 14: SYSMONEVENT_REG_NAME
  • 15: SYSMONEVENT_FILE_CREATE_STREAM_HASH
  • 16: SYSMONEVENT_SERVICE_CONFIGURATION_CHANGE
  • 17: SYSMONEVENT_CREATE_NAMEDPIPE
  • 18: SYSMONEVENT_CONNECT_NAMEDPIPE
  • 19: SYSMONEVENT_WMI_FILTER
  • 20: SYSMONEVENT_WMI_CONSUMER
  • 21: SYSMONEVENT_WMI_BINDING
  • 22: SYSMONEVENT_DNS_QUERY
  • 23: SYSMONEVENT_FILE_DELETE
  • 24: SYSMONEVENT_CLIPBOARD
  • 25: SYSMONEVENT_PROCESS_IMAGE_TAMPERING
  • 26: SYSMONEVENT_FILE_DELETE_DETECTED
  • 255: SYSMONEVENT_ERROR

Gördüğünüz gibi, bu olayların çoğu, Kayıt Defteri veya WMI olayları gibi Linux için geçerli değildir, bu nedenle yapılandırmanızı buna göre ayarlamanız gerekecektir.

Sysmon, bir kuruluşun güvenlik araç kutusunun bir parçası olarak Windows ortamlarında yaygın olarak kullanılan güçlü bir araçtır.

Linux’a eklenmesiyle, tamamen yeni bir sistem yöneticileri segmenti, kötü niyetli faaliyetler için ücretsiz sistem izleme sağlamak için onu kullanabilir.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün