Desde Linux Darkcrizt  

Microsoft lanzo la version open source de Sysmon System Monitor para Linux

Si bien Microsoft produce principalmente aplicaciones y servicios diseñados para usar con su propio sistema operativo Windows, a lo largo de los años la compañía ha adoptado no solo macOS sino también Linux. Después de lanzar recientemente el Subsistema de Windows para Linux en la tienda de Windows 11, Microsoft acaba liberar otra de sus herramientas para los usuarios de Linux.

Y es que Microsoft acaba de lanzar una versión para Linux de Sysmon, la herramienta de monitoreo del sistema de Windows. Sysmon es simplemente una de las herramientas de la colección Sysinternals que mantiene Microsoft, lo que brinda a los usuarios la capacidad de monitorear los sistemas en busca de signos de actividad sospechosa que luego se pueden registrar.

Esta es una herramienta muy configurable que los administradores del sistema pueden personalizar para encontrar tipos de actividad muy específicos que puedan ser motivo de preocupación.

Sobre Sysmon System Monitor

Para quienes desconocen de Sysmon, deben saber que este es un programa que se instala como un servicio del sistema y sigue ejecutándose incluso después de reinicios posteriores.

Permite monitorear y registrar la actividad del sistema en el registro de eventos de Windows y proporciona información detallada sobre la creación de procesos, conexiones de red, creación y modificación de archivos. Al examinar los eventos generados por Sysmon en la máquina en uso, un administrador puede identificar actividad anómala o maliciosa, comprender cómo se usó el sistema, comprender cómo actuaron los intrusos en el sistema.

La versión para Linux de Sysmon está lejos de ser una utilidad única, y se encuentra luchando por llamar la atención en un campo ya ocupado. Sin embargo, encontrará fanáticos entre los administradores de sistemas que ya usan Sysmon para Windows y han estado esperando ansiosamente un puerto de Linux para usar en otros sistemas.

Cualquiera que desee comenzar a usar la utilidad deberá saber cómo compilar binarios de Linux, pero eso no debería ser un obstáculo para el público objetivo de la herramienta. A modo de celebración, Mark Russinovich, creador del paquete, dijo que Sysinternals ahora se puede descargar a través de winget o de Microsoft Store. Además, como ya sabes, Sysmon acaba de ser lanzado para Linux, con código fuente abierto.

¿Como instalar Sysmon en Linux?

La versión de Linux requiere la instalación de SysinternalsEBPF y luego la compilación de la herramienta por parte del usuario. Las instrucciones para esto están en la página de Sysmon en GitHub.

Por ejemplo la herramienta tiene un método de instalación bastante sencillo en Ubuntu, ya que para instalarla basta con abrir una terminal y teclear:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev

sudo apt-get update
sudo apt-get install sysmonforlinux

Mientras que para el caso de Debian 11:

wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list

sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux

O en el caso de Fedora 34:

sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux

Una vez finalizada la instalación, Sysmon para Linux comienza a registrar las actividades del sistema en /var/log/syslog. Algunos de los eventos registrados por la herramienta no se aplican a Linux. La buena noticia es que Sysmon se puede configurar para registrar solo lo que el administrador considere relevante.

Se puede iniciar el programa y obtener la sintaxis de los comandos utilizables. Para hacer esto, simplemente deben teclear:

sysmon -h

A continuación, puede aceptar los términos de uso escribiendo

sysmon -accepteula

Sysmon es una herramienta poderosa que se ha utilizado durante mucho tiempo en Windows para resaltar las causas del comportamiento anómalo detectado a nivel de aplicación o dentro de la red local.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.