微软发布 Linux 版 Windows Sysmon 工具

微软发布了 Windows 系统监控工具 Sysmon 的 Linux 开源版本，允许 Linux 管理员监控设备的恶意活动。

System Monitor（Sysmon）是一个系统服务和设备驱动程序，一旦安装在系统上，就会在系统重启时保持驻留，以监控并记录系统活动到事件日志。它提供有关进程创建、网络连接和文件创建时间变化的详细信息。通过使用事件收集或 SIEM 代理收集它产生的事件，并随后对其进行分析，用户可以识别恶意或异常活动。

需要注意的是，Sysmon 不提供对其生成的事件的分析，也不试图保护或隐藏自己不被攻击者发现，其多功能性来自于创建自定义配置文件的能力。与 Windows 版的 Sysmon 不同，Linux 用户需要自己编译该程序，并确保他们拥有所有必要的依赖，包括首先需要安装 SysinternalsEBPF 项目。

关于 Linux 版 Sysmon 项目安装、配置，其 GitHub 页面上提供了详细说明。