Windows Sysmon’un Linux Versiyonu Yayınlandı
Microsoft, Windows’ta kullanılan popüler Sysmon sistem izleme programının Linux sürümünü yayımladı. Microsoft’tan Mark Russinovich ve Sysinternals yardımcı program paketinin kurucularından biri, Microsoft’un Sysmon for Linux’u GitHub üzerinde açık kaynaklı bir proje olarak yayınladığını duyurdu.
Windows versiyonundan farklı olarak, Linux kullanıcılarının programı kendileri derlemeleri ve projenin GitHub sayfasında sağlanan talimatlarla gerekli tüm bağımlılıklara sağlamaları gerekiyor.
Programı kullanmak için önce aşağıdaki komutla son kullanıcı lisans sözleşmesini kabul etmeniz gerekir:
sudo ./sysmon -accepteula
Ardından, aşağıdaki komutlardan birini kullanarak bir yapılandırma dosyası olsun veya olmasın Sysmon’u başlatabilirsiniz:
Without configuration file:
sudo ./sysmon -i
With configuration file:
sudo ./sysmon -i CONFIG_FILE
Kendi Sysmon konfigürasyon dosyanızı oluşturmak için ./sysmon -s
, mevcut versiyonun konfigürasyon şemasını görüntülemek ve hangi direktiflerin mevcut olduğunu görmek için komutu kullanmanız gerekir.
Bir kez başlatıldığında, Sysmon olayları /var/log/syslog
dosyaya kaydetmeye başlayacaktır. Günlüğe kaydedilenleri kısıtlamak için bir yapılandırma dosyası belirtmediyseniz, yeni işlemler başlatılıp sonlandırıldıkça syslog dosyanızın hızla büyüdüğünü göreceksiniz.
Belirli olaylar için günlükleri filtrelemeyi kolaylaştırmak için aradığınız olayları göstermek için sysmonLogView yardımcı programını kullanabilirsiniz.
Sysmon for Linux’un günlüğe kaydedebildiği güncel olay kimlikleri aşağıda listelenmiştir:
- 1: SYSMONEVENT_CREATE_PROCESS
- 2: SYSMONEVENT_FILE_TIME
- 3: SYSMONEVENT_NETWORK_CONNECT
- 4: SYSMONEVENT_SERVICE_STATE_CHANGE
- 5: SYSMONEVENT_PROCESS_SONLANDIRMA
- 6: SYSMONEVENT_DRIVER_LOAD
- 7: SYSMONEVENT_IMAGE_LOAD
- 8: SYSMONEVENT_CREATE_REMOTE_THREAD
- 9: SYSMONEVENT_RAWACCESS_READ
- 10: SYSMONEVENT_ACCESS_PROCESS
- 11: SYSMONEVENT_FILE_CREATE
- 12: SYSMONEVENT_REG_KEY
- 13: SYSMONEVENT_REG_SETVALUE
- 14: SYSMONEVENT_REG_NAME
- 15: SYSMONEVENT_FILE_CREATE_STREAM_HASH
- 16: SYSMONEVENT_SERVICE_CONFIGURATION_CHANGE
- 17: SYSMONEVENT_CREATE_NAMEDPIPE
- 18: SYSMONEVENT_CONNECT_NAMEDPIPE
- 19: SYSMONEVENT_WMI_FILTER
- 20: SYSMONEVENT_WMI_CONSUMER
- 21: SYSMONEVENT_WMI_BINDING
- 22: SYSMONEVENT_DNS_QUERY
- 23: SYSMONEVENT_FILE_DELETE
- 24: SYSMONEVENT_CLIPBOARD
- 25: SYSMONEVENT_PROCESS_IMAGE_TAMPERING
- 26: SYSMONEVENT_FILE_DELETE_DETECTED
- 255: SYSMONEVENT_ERROR
Kaynak: bleepingcomputer.com