Microsoft lança versão do Sysmon para Linux

Microsoft lança versão do Sysmon para Linux

Uma ferramenta importante de monitoramento que até então só existia para Windows acaba de chegar para Linux. É que a Microsoft lança uma versão do Sysmon para Linux. Essa ferramenta é bastante usada por administradores de sistema para o monitoramento de atividades dentro do Windows.

Sysmon nada mais é que uma abreviação de System Monitor. Portanto, funciona como um recurso de segurança, já que passa a registrar todas as atividades que ocorrem dentro do sistema operacional de uma forma quase imperceptível. Assim, serve para detectar atividades suspeitas a partir de logs que são gerados automaticamente a partir da ativação. Então, pode apontar que o computador foi infectado por um malware não detectado pelo antivírus, por exemplo.

Para quem não está familiarizado com o Sysmon  (também conhecido como System Monitor), é uma ferramenta Sysinternals que monitora um sistema em busca de atividades maliciosas e, em seguida, registra qualquer comportamento detectado nos arquivos de log do sistema.

Microsoft lança versão do Sysmon para Linux

O programa está atualmente em sua versão 13 que saiu este ano somente para Windows. O programa é capaz de detectar se algum processo sofreu adulteração capaz de driblar os mecanismos de segurança.

Mark Russinovich da Microsoft e um cofundador da suíte de utilitários Sysinternals, anunciaram que a Microsoft lançou o Sysmon para Linux como um projeto de código  aberto no GitHub.

Ao contrário do Sysmon para Windows, os usuários do Linux serão obrigados a compilar o programa por conta própria e garantir que tenham todas as dependências necessárias, com instruções fornecidas na página GitHub do projeto.

É importante observar que para compilar o Sysmon, você deve primeiro instalar também o projeto SysinternalsEBPF.

Uma vez que o Sysmon é compilado, você pode ver um arquivo de ajuda digitando sudo ./sysmon -h.

Para usar o programa, primeiro você precisa aceitar o contrato de licença do usuário final. Em seguida, você pode iniciar o Sysmon com ou sem um arquivo de configuração.

Para criar seu próprio arquivo de configuração Sysmon, você precisaria usar o comando ./sysmon -s para visualizar o esquema de configuração da versão atual e ver quais diretivas estão disponíveis.

Para saber mais sobre como criar um arquivo de configuração Sysmon, você pode consultar a documentação oficial ou usar  o modelo do SwiftOnSecurity  como exemplo.

Uma vez iniciado, o Sysmon começará a registrar eventos no arquivo /var/log/syslog. Se você não especificou um arquivo de configuração para restringir o que é registrado, verá que seu arquivo syslog cresce rapidamente à medida que novos processos são iniciados e encerrados.

Por exemplo, na captura de tela abaixo, você pode ver um evento mostrando o comando ‘adduser’ terminando depois que eu o usei para criar um novo usuário.

Para facilitar a filtragem dos logs de eventos específicos, você pode usar o utilitário sysmonLogView para mostrar os eventos que está procurando.

Os IDs de eventos atuais que o Sysmon para Linux é capaz de registrar estão listados abaixo:

  • 1: SYSMONEVENT_CREATE_PROCESS
  • 2: SYSMONEVENT_FILE_TIME
  • 3: SYSMONEVENT_NETWORK_CONNECT
  • 4: SYSMONEVENT_SERVICE_STATE_CHANGE
  • 5: SYSMONEVENT_PROCESS_TERMINATE
  • 6: SYSMONEVENT_DRIVER_LOAD
  • 7: SYSMONEVENT_IMAGE_LOAD
  • 8: SYSMONEVENT_CREATE_REMOTE_THREAD
  • 9: SYSMONEVENT_RAWACCESS_READ
  • 10: SYSMONEVENT_ACCESS_PROCESS
  • 11: SYSMONEVENT_FILE_CREATE
  • 12: SYSMONEVENT_REG_KEY
  • 13: SYSMONEVENT_REG_SETVALUE
  • 14: SYSMONEVENT_REG_NAME
  • 15: SYSMONEVENT_FILE_CREATE_STREAM_HASH
  • 16: SYSMONEVENT_SERVICE_CONFIGURATION_CHANGE
  • 17: SYSMONEVENT_CREATE_NAMEDPIPE
  • 18: SYSMONEVENT_CONNECT_NAMEDPIPE
  • 19: SYSMONEVENT_WMI_FILTER
  • 20: SYSMONEVENT_WMI_CONSUMER
  • 21: SYSMONEVENT_WMI_BINDING
  • 22: SYSMONEVENT_DNS_QUERY
  • 23: SYSMONEVENT_FILE_DELETE
  • 24: SYSMONEVENT_CLIPBOARD
  • 25: SYSMONEVENT_PROCESS_IMAGE_TAMPERING
  • 26: SYSMONEVENT_FILE_DELETE_DETECTED
  • 255: SYSMONEVENT_ERROR

Como você pode ver, muitos desses eventos não se aplicam ao Linux, como o Registro ou eventos WMI, portanto, você precisará ajustar sua configuração de acordo.

Sysmon é uma ferramenta poderosa amplamente usada em ambientes Windows como parte da caixa de ferramentas de segurança de uma organização.

Com sua adição ao Linux, um novo segmento de administradores de sistema pode utilizá-lo para fornecer monitoramento de sistema gratuito para atividades maliciosas.

Via BleepinComputer