Tecnología

Microsoft lanza la versión para Linux de la herramienta Windows Sysmon

Microsoft ama el encabezado de Linux

Microsoft ha lanzado una versión para Linux de la muy popular utilidad de monitoreo del sistema Sysmon para Windows, que permite a los administradores de Linux monitorear los dispositivos en busca de actividad maliciosa.

Para aquellos que no están familiarizados con Sysmon (también conocido como System Monitor), es una herramienta de Sysinternals que monitorea un sistema en busca de actividad maliciosa y luego registra cualquier comportamiento detectado en los archivos de registro del sistema.

La versatilidad de Sysmon proviene de la capacidad de crear archivos de configuración personalizados que los administradores pueden usar para monitorear eventos específicos del sistema que pueden indicar que se está produciendo una actividad maliciosa en el sistema.

Sysmon portado a Linux

Hoy, Mark Russinovich de Microsoft y cofundador de la suite de utilidades Sysinternals, anunció que Microsoft había lanzado Sysmon para Linux como un software de código abierto. proyecto en GitHub.

A diferencia de Sysmon para Windows, los usuarios de Linux deberán compilar el programa ellos mismos y asegurarse de que tienen todas las dependencias necesarias, con instrucciones proporcionadas en la página de GitHub del proyecto.

Es importante tener en cuenta que para compilar Sysmon, primero debe instalar también el Proyecto SysinternalsEBPF.

Una vez compilado Sysmon, puede ver un archivo de ayuda escribiendo sudo ./sysmon -h, como se muestra en la captura de pantalla siguiente.

Archivo de ayuda de Sysmon para Linux
Archivo de ayuda de Sysmon para Linux
Fuente: BleepingComputer

Para utilizar el programa, primero debe aceptar el acuerdo de licencia de usuario final con el siguiente comando:

sudo ./sysmon -accepteula

Luego, puede iniciar Sysmon con o sin un archivo de configuración usando uno de los siguientes comandos:

Without configuration file:

sudo ./sysmon -i

With configuration file:

sudo ./sysmon -i CONFIG_FILE

Para crear su propio archivo de configuración de Sysmon, necesitaría usar ./sysmon -s comando para ver el esquema de configuración de la versión actual y ver qué directivas están disponibles.

Para obtener más información sobre cómo crear un archivo de configuración de Sysmon, puede consultar el documentación oficial o usar Plantilla de SwiftOnSecurity como ejemplo.

Archivo de configuración básico de Windows Sysmon que habilita el registro de DNSQuery
Archivo de configuración básico de Windows Sysmon que habilita el registro de DNSQuery

Una vez iniciado, Sysmon comenzará a registrar eventos en el /var/log/syslog expediente. Si no especificó un archivo de configuración para restringir lo que se registra, verá que su archivo syslog crece rápidamente a medida que se inician y finalizan nuevos procesos.

Por ejemplo, en la captura de pantalla a continuación, puede ver un evento que muestra el comando ‘adduser’ terminando después de que lo usé para crear un nuevo usuario.

Evensts de Sysmon registrados en / var / log / syslog
Eventos de Sysmon registrados en / var / log / syslog
Fuente: BleepingComputer

Para que sea más fácil filtrar los registros para eventos específicos, puede usar el sysmonLogView utilidad para mostrar los eventos que busca.

Los ID de eventos actuales que Sysmon para Linux es capaz de registrar se enumeran a continuación:

  • 1: SYSMONEVENT_CREATE_PROCESS
  • 2: SYSMONEVENT_FILE_TIME
  • 3: SYSMONEVENT_NETWORK_CONNECT
  • 4: SYSMONEVENT_SERVICE_STATE_CHANGE
  • 5: SYSMONEVENT_PROCESS_TERMINATE
  • 6: SYSMONEVENT_DRIVER_LOAD
  • 7: SYSMONEVENT_IMAGE_LOAD
  • 8: SYSMONEVENT_CREATE_REMOTE_THREAD
  • 9: SYSMONEVENT_RAWACCESS_READ
  • 10: SYSMONEVENT_ACCESS_PROCESS
  • 11: SYSMONEVENT_FILE_CREATE
  • 12: SYSMONEVENT_REG_KEY
  • 13: SYSMONEVENT_REG_SETVALUE
  • 14: SYSMONEVENT_REG_NAME
  • 15: SYSMONEVENT_FILE_CREATE_STREAM_HASH
  • 16: SYSMONEVENT_SERVICE_CONFIGURATION_CHANGE
  • 17: SYSMONEVENT_CREATE_NAMEDPIPE
  • 18: SYSMONEVENT_CONNECT_NAMEDPIPE
  • 19: SYSMONEVENT_WMI_FILTER
  • 20: SYSMONEVENT_WMI_CONSUMER
  • 21: SYSMONEVENT_WMI_BINDING
  • 22: SYSMONEVENT_DNS_QUERY
  • 23: SYSMONEVENT_FILE_DELETE
  • 24: SYSMONEVENT_CLIPBOARD
  • 25: SYSMONEVENT_PROCESS_IMAGE_TAMPERING
  • 26: SYSMONEVENT_FILE_DELETE_DETECTED
  • 255: SYSMONEVENT_ERROR

Como puede ver, muchos de estos eventos no se aplican a Linux, como los eventos de Registro o WMI, por lo que deberá ajustar su configuración en consecuencia.

Sysmon es una poderosa herramienta ampliamente utilizada en entornos Windows como parte de la caja de herramientas de seguridad de una organización.

Con su incorporación a Linux, un segmento completamente nuevo de administradores de sistemas puede utilizarlo para proporcionar monitoreo gratuito del sistema en busca de actividad maliciosa.

Leave a Comment

You may also like

Más