- Автор темы
- #1
Microsoft анонсировала, что в 2026 году интегрирует популярный инструмент Sysmon напрямую в Windows 11 и Windows Server 2025. Об этом объявил создатель Sysinternals Марк Руссинович (Mark Russinovich).
Sysmon (System Monitor) — бесплатный инструмент Microsoft Sysinternals для мониторинга и блокировки подозрительной активности в Windows. События логируются в журнал Windows Event Log, что делает инструмент незаменимым для поиска угроз и диагностики проблем.
По умолчанию Sysmon отслеживает базовые события вроде создания и завершения процессов, но через кастомные файлы конфигурации можно следить за вмешательством в процессы, DNS-запросами, созданием исполняемых файлов, изменениях буфера обмена, автоматически бэкапить удаленные файлы и так далее.
В настоящее время Sysmon нужно устанавливать индивидуально на каждое устройство, что затрудняет управление в крупных ИТ-средах. Нативная поддержка должна решить эту проблему, так как пользователи смогут устанавливать инструмент через Optional features («Дополнительные компоненты») в Windows 11 и получать обновления напрямую через Windows Update.
В Microsoft обещают сохранить всю стандартную функциональность, включая поддержку кастомных конфигураций и расширенную фильтрацию событий.
После установки администраторы смогут включить Sysmon через командную строку (sysmon -i или для мониторинга с кастомным конфигом sysmon -i <имя_конфиг_файла>).
Также представители Microsoft сообщили, что в 2026 году выпустят полную документацию по Sysmon, добавят новые функции управления для предприятий и возможности для обнаружения угроз при помощи ИИ.
Sysmon (System Monitor) — бесплатный инструмент Microsoft Sysinternals для мониторинга и блокировки подозрительной активности в Windows. События логируются в журнал Windows Event Log, что делает инструмент незаменимым для поиска угроз и диагностики проблем.
По умолчанию Sysmon отслеживает базовые события вроде создания и завершения процессов, но через кастомные файлы конфигурации можно следить за вмешательством в процессы, DNS-запросами, созданием исполняемых файлов, изменениях буфера обмена, автоматически бэкапить удаленные файлы и так далее.
В настоящее время Sysmon нужно устанавливать индивидуально на каждое устройство, что затрудняет управление в крупных ИТ-средах. Нативная поддержка должна решить эту проблему, так как пользователи смогут устанавливать инструмент через Optional features («Дополнительные компоненты») в Windows 11 и получать обновления напрямую через Windows Update.
В Microsoft обещают сохранить всю стандартную функциональность, включая поддержку кастомных конфигураций и расширенную фильтрацию событий.
После установки администраторы смогут включить Sysmon через командную строку (sysmon -i или для мониторинга с кастомным конфигом sysmon -i <имя_конфиг_файла>).
Также представители Microsoft сообщили, что в 2026 году выпустят полную документацию по Sysmon, добавят новые функции управления для предприятий и возможности для обнаружения угроз при помощи ИИ.