Компания Microsoft объявила, что в следующем году встроит Sysmon (System Monitor) нативно в Windows 11 и Windows Server 2025. Это сделает необязательной установку отдельной версии из пакета Sysinternals.
Марк Руссинович (Mark Russinovich), создатель Sysinternals, объявил:
В следующем году обновления Windows для Windows 11 и Windows Server 2025 принесут нативную поддержку Sysmon в Windows.
Функциональность Sysmon позволяет использовать собственные конфигурационные файлы для фильтрации фиксируемых событий. Эти события записываются в журнал событий Windows, что открывает широкий спектр сценариев применения, включая работу средств безопасности.
Sysmon (или System Monitor) — это бесплатная утилита Microsoft Sysinternals, которую можно настроить для мониторинга и блокировки вредоносной или подозрительной активности, а также для записи событий в журнал событий Windows.
По умолчанию Sysmon отслеживает базовые события, такие как создание и завершение процессов. Однако можно создавать расширенные конфигурационные файлы, которые позволяют наблюдать и реагировать на более сложное поведение: вмешательство в процессы, DNS-запросы, создание исполняемых файлов, изменения буфера обмена Windows, автоматическое резервное копирование удаленных файлов и многое другое.
Sysmon является очень популярным инструментом для обнаружения угроз и диагностики стойких проблем в Windows, однако обычно его нужно устанавливать вручную на каждое устройство. Это усложняет управление и снижает охват в крупных ИТ-средах.
Благодаря нативной поддержке в Windows пользователи и администраторы смогут устанавливать Sysmon через меню «Дополнительные компоненты» в Windows 11 и получать обновления напрямую через центр обновления Windows, что сделает развертывание и сопровождение намного проще.
Microsoft заявляет, что встроенная версия сохранит весь стандартный набор возможностей Sysmon, включая поддержку пользовательских конфигурационных файлов и продвинутой фильтрации событий.
После установки администраторы смогут включить базовый мониторинг через командную строку, используя следующую команду:
sysmon -i
Для более продвинутого мониторинга с использованием пользовательского конфигурационного файла пользователи могут развернуть его с помощью следующей команды:
sysmon -i <name_of_config_file>
Например, если вы хотите фиксировать создание новых исполняемых файлов в папках C:\ProgramData\ иC:\Users, вы можете использовать следующий конфигурационный файл:
<Sysmon schemaversion="4.90"> <!-- Capture all hashes --> <HashAlgorithms>MD5,SHA256</HashAlgorithms> <EventFiltering> <!-- Log executable file creations --> <FileExecutableDetected onmatch="include"> <TargetFilename condition="begin with">C:\ProgramData\</TargetFilename> <TargetFilename condition="begin with">C:\Users\</TargetFilename> </FileExecutableDetected> </EventFiltering> </Sysmon>
Теперь, когда в одном из этих каталогов создается новый исполняемый файл, Windows записывает это событие в журналы событий.
Список других популярных событий, которые регистрирует Sysmon:
- Event ID 1 — создание процесса: полезно для обнаружения подозрительной активности в командной строке.
- Event ID 3 — сетевое подключение: фиксирует исходящие соединения для выявления аномалий или активности командного сервера (C2).
- Event ID 8 — доступ к процессу: позволяет выявлять попытки получить доступ к LSASS для кражи учетных данных.
- Event ID 11 — создание файла: отслеживает создание скриптовых файлов, часто используемых в начальных стадиях атаки.
- Event ID 25 — вмешательство в процесс: помогает обнаруживать подмену процессов (process hollowing) и другие методы уклонения.
- Event ID 20 и 21 — события WMI: фиксируют устойчивую вредоносную активность через WMI-консьюмеры и фильтры.
Microsoft также подтвердила, что в следующем году наконец выпустит подробную документацию по использованию Sysmon, а также представит новые функции корпоративного управления и возможности обнаружения угроз на базе ИИ.
Если вы хотите протестировать или развернуть Sysmon в своей среде, вы можете сделать это, используя отдельную версию инструмента на сайте Sysinternals и изучив пример конфигурации Sysmon от SwiftOnSecurity.
Последние статьи #Windows
• Microsoft интегрирует Sysmon напрямую в Windows 11 и Windows Server 2025
• Официальные ISO-образы Windows 11 (ноябрь 2025 года)
• Windows 11 Build 28000.1199 (Canary): Обновление KB5068860 для Windows 11, версия 26H1
• Windows 11 получает новые инструменты для восстановления системы — после сбоев, неудачных обновлений и ошибок драйверов
• Microsoft ужесточает требования к драйверам для Windows 11, ограничивая доступ к ядру системы
• Windows становится «агентной ОС»: ИИ-агенты появляются на панели задач и получают доступ к функциям системы