Microsoft rilascia Sysmon per Linux: monitorare ciò che avviene sul sistema

Sysmon (System Monitor) è un programma che si installa come servizio di sistema Windows e rimane in esecuzione anche dopo i successivi riavvii.
Permette di monitorare e registrare l’attività del sistema nel registro eventi di Windows e fornisce informazioni dettagliate sulla creazione dei processi, sulle connessioni di rete, sulla creazione e la modifica dei file.

Esaminando gli eventi generati da Sysmon sulla macchina in uso un amministratore può identificare attività anomale o dannose, comprendere come è stato utilizzato il sistema, capire come eventuali intrusi hanno agito sul sistema.

In un altro articolo abbiamo illustrato uno dei possibili usi di Sysmon ovvero il meccanismo che consente di salvare il contenuto degli appunti di Windows ogni volta che viene memorizzata qualche informazione, ad esempio premendo CTRL+C.

La novità è che Microsoft, per volontà dell’ideatore di Sysmon Mark Russinovich, ha rilasciato la versione per Linux della nota utilità.
Sysmon per Linux è stato pubblicato come progetto opensource su GitHub.
Per il momento, però, gli utenti interessati a usare Sysmon sul pinguino devono compilare il programma autonomamente e assicurarsi di disporre di tutte le dipendenze necessarie: le istruzioni per procedere sono state pubblicate nella pagina GitHub.
È importante notare che per compilare Sysmon si deve aver installato anche SysinternalsEBPF.

Dopo aver compilato Sysmon è possibile avviare il programma e ottenere la sintassi dei comandi utilizzabili. Per far ciò basta digitare sudo ./sysmon -h.
Si potranno quindi accettare le condizioni d’uso scrivendo sudo ./sysmon -accepteula.

Sysmon è uno strumento potente che in Windows viene da tempo utilizzato per far emergere le cause di comportamenti anomali rilevati a livello applicativo o nell’ambito della rete locale.
Essendo stato sviluppato da Microsoft e utilizzando la firma digitale dell’azienda, Sysmon non viene mai riportato da nessun antimalware.