Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

eBPF: Microsoft portiert Sysmon auf Linux

Ein weiteres wichtiges Werkzeug von Microsofts Sysinternals-Reihe steht nun für Linux bereit: Sysmon. Das Tool basiert auf eBPF.
/ Sebastian Grüner
5 Kommentare undefined News folgen (öffnet im neuen Fenster)
Sysmon läuft nun auf Linux. (Bild: Pixabay)
Sysmon läuft nun auf Linux. Bild: Pixabay

Das Windows-Werkzeug System Monitor (Sysmon) ist ein Systemdienst des Betriebssystems sowie Systemtreiber und ermöglicht ein weitgehendes Monitoring des Systems. Wie unter anderem der bei Microsoft als Technikchef für die Cloud-Plattform Azure zuständige Mark Russinovich auf Twitter mitteilt(öffnet im neuen Fenster) , steht Sysmon neben Windows nun auch für Linux(öffnet im neuen Fenster) bereit.

Das Team arbeitet bereits seit etwa einem Jahr an einer Portierung(öffnet im neuen Fenster) seines Werkzeugs und greift dafür auf die eBPF-Technik des Linux-Kernels zurück. Bei eBPF handelt es sich um eine mittlerweile fast universell einsetzbare virtuelle Maschine (VM) im Linux-Kernel selbst, die aus dem Berkeley Packet Filter (BPF) hervorgegangen ist.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Lösungsdesignerin oder IT-Lösungsdesigner mit dem Schwerpunkt IT-Vorhabensverantwortung (w/m/d) Bundesanstalt für Immobilienaufgaben, Bonn (öffnet im neuen Fenster)
Senior Konstrukteur*in / CAD-Administrator*in (m/w/d) TWK-ELEKTRONIK GmbH, Wedel (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) - Infrastruktur & Cloud RIWA GmbH, Memmingen (öffnet im neuen Fenster)
IT-Manager - Systemadministration, Digitalisierung & Prozessoptimierung / Wohnungswirtschaft (m/w/d) Düsseldorfer Wohnungsgenossenschaft eG, Düsseldorf (öffnet im neuen Fenster)
IT-Administrator Application (m/w/d) Abrechnungszentrum Emmendingen, Emmendingen (öffnet im neuen Fenster)
Fachreferent - Geräteverwaltung (m/w/d) VOLTARIS GmbH, Merzig (öffnet im neuen Fenster)
IT-Koordinator/-in (m/w/d), Abteilung Finanzen, Köln - BG ETEM - Berufsgenossenschaft Energie Textil Elektro Medienerzeugnisse, Köln (öffnet im neuen Fenster)
Fachreferent (w/m/d) IT-Portfolio-Management & KI-Verantwortung Ruhrbahn GmbH, Essen (öffnet im neuen Fenster)

Zusätzlich zu dem eigentlichen Port von Sysmon auf Linux basiert das Projekt noch auf einer Bibliothek, SysinternalsEBPF(öffnet im neuen Fenster) , die Userspaceprogramme zur einfacheren Nutzung verwenden können. Hinzu kommt eine Bibliothek für das eBPF-Programm selbst. Ebenso teilen sich die Variante für Windows sowie jene für Linux bereits gemeinsamen Code(öffnet im neuen Fenster) , so dass sich die Unterschiede in Grenzen halten sollten.

Letzteres zeigt sich auch am angepriesenen Funktionsumfang. So ermöglicht Sysmon nun auch unter Linux eine tiefgreifende Beobachtung der Erstellung neuer Prozesse, samt Befehl und Eltern-Prozessen, sowie neuer oder gelöschter Dateien oder auch Zugriffe auf Festplatten. Auch Netzwerkverbindungen können überwacht werden. In der Beschreibung heißt es darüber hinaus aber explizit, dass Sysmon keinerlei Analyse der geloggten Ereignisse durchführe und das Werkzeug sich auch nicht vor möglichen Angreifern verstecke.

Auf Grundlage von eBPF unter Linux ist etwa das Cilium(öffnet im neuen Fenster) -Projekt entstanden, das weitreichende Netzwerk- und Sicherheitsfunktionen etwa für den Containereinsatz bereitstellt. Cloudflare nutzt eBPF darüber hinaus, um DDoS-Angriffe zu erkennen . Ebenso sind inzwischen einige verschiedene Tracing-Programme auf Grundlage von eBPF entstanden wie BPFtrace oder Canonicals Etrace . Microsoft arbeitet sogar an einem Port von eBPF auf Windows .

Zur Startseite 5 Kommentare

Relevante Themen

Open SourceLinuxSoftwareBetriebssystemeSecurityWissen