Microsoft leva ao Linux uma poderosa ferramenta que só existia no Windows
Sysmon, versátil ferramenta de monitoramento de atividades em ambiente Windows, acaba de ganhar versão para Linux
Se você é administrador de sistema ou exerce algum trabalho parecido, há boas chances de o Sysmon lhe ser familiar. Essa é uma ferramenta muito útil para monitoramento de atividades em ambiente Windows. Mas não exclusivamente: a Microsoft acaba de lançar uma versão do Sysmon para Linux.
- Ubuntu 21.10 é lançado com Gnome 40, Linux 5.13 e visual repaginado
- Linux avança em Macs com Apple M1 e já permite rodar “desktop básico”
O que é Sysmon?
A explicação simples é esta: o Sysmon (System Monitor) é um recurso de segurança. Quando ativada, a ferramenta passa a registrar todas as atividades executadas no sistema, discretamente. O Sysmon atua como um serviço do Windows, portanto, pode até dar detalhes sobre eventos que ocorrem durante a inicialização do sistema.
Os recursos disponíveis fazem do Sysmon um ótimo meio para detecção de atividades maliciosas. Ao analisar os logs gerados pela ferramenta, um administrador pode identificar uma ação suspeita que, como tal, indica que o computador foi infectado por um malware não detectado por um antivírus, por exemplo.
A partir da versão 13 do Sysmon para Windows, lançada no início de 2021, o aspecto da segurança foi reforçado com a introdução de uma função capaz de detectar se um processo foi adulterado. Isso é útil para identificar atividade maliciosa que se infiltra em processos legítimos do sistema operacional para escapar de softwares de segurança.
Sysmon para Linux
Nesta semana, o Sysinternals está completando 25 anos de existência. Esse é o nome de um pacote de utilitários de monitoramento, diagnóstico e solução de problemas em ambiente Windows. Pois bem, o Sysmon faz parte dos recursos do Sysinternals.
Como forma de celebração, Mark Russinovich, criador do pacote, informou que agora o Sysinternals pode ser baixado tanto por winget quanto via Microsoft Store. Além disso, como você já sabe, o Sysmon acaba de ser liberado para Linux, com código-fonte aberto.
Mas, pelo menos na atual fase, a sua instalação não é trivial. A versão para Linux requer a instalação do SysinternalsEBPF e, posteriormente, a compilação da ferramenta pelo próprio usuário. As instruções para isso estão na página do Sysmon no GitHub.
Depois que a instalação é feita, o Sysmon para Linux passa a registrar as atividades no sistema em /var/log/syslog. Alguns dos eventos registrados pela ferramenta não se aplicam ao Linux. A boa notícia é que o Sysmon pode ser configurado para registrar somente aquilo que o administrador considerar relevante.
Com informações: BleepingComputer.