Microsoft ще интегрира Sysmon директно в Windows 11 и Windows Server 2025

Picture of Здравко Боджов
Здравко Боджов
Киберсигурност

Microsoft обяви, че ще интегрира Sysmon нативно в Windows 11 и Windows Server 2025 следващата година, което ще премахне необходимостта от отделното разполагане на инструментите от пакета Sysinternals.

„Следващата година, чрез актуализации на Windows 11 и Windows Server 2025, функционалността на Sysmon ще бъде налична директно в Windows“, се казва в съобщение от Марк Русинович, създател на Sysinternals.

„Функционалността на Sysmon позволява използването на персонализирани конфигурационни файлове за филтриране на заснетите събития. Тези събития се записват в Windows Event Log, като това позволява широк спектър от приложения, включително и от инструменти.“

Какво е Sysmon?


Sysmon (System Monitor) е безплатен инструмент на Microsoft Sysinternals, който може да се конфигурира за наблюдение и блокиране на злонамерена или подозрителна активност и за запис на събития в Windows Event Log.

По подразбиране Sysmon следи базови събития като създаване и прекратяване на процеси. Чрез напреднали конфигурационни файлове е възможно да се наблюдават сложни действия, като модификация на процеси, DNS заявки, създаване на изпълними файлове, промени в Windows clipboard и автоматично архивиране на изтрити файлове.

Sysmon е популярен инструмент за threat hunting и диагностика на устойчиви проблеми в Windows, но обикновено трябва да се инсталира индивидуално на всяко устройство, което затруднява управлението в големи ИТ среди.

С нативната поддръжка в Windows, потребителите и администраторите ще могат да го инсталират чрез диалоговия прозорец „Optional features“ в Windows 11 и да получават актуализации директно чрез Windows Update, което значително улеснява внедряването и управлението.

Microsoft потвърди, че вградените възможности ще запазят стандартния набор от функции на Sysmon, включително поддръжка на персонализирани конфигурационни файлове и напреднали филтри за събития.

Примери за използване:

  • За базово наблюдение:

sysmon -i

  • За наблюдение с персонализиран конфигурационен файл:

sysmon -i <name_of_config_file>

Например, за да се логват създавания на нови изпълними файлове в директориите C:\ProgramData\ и C:\Users\, конфигурационният файл може да изглежда така:

<Sysmon schemaversion="4.90">
<HashAlgorithms>MD5,SHA256</HashAlgorithms>
<EventFiltering>
<FileExecutableDetected onmatch="include">
<TargetFilename condition="begin with">C:\ProgramData\</TargetFilename>
<TargetFilename condition="begin with">C:\Users\</TargetFilename>
</FileExecutableDetected>
</EventFiltering>
</Sysmon>

След това, когато нов изпълним файл се създаде в тези директории, Windows го записва в Event Logs.

Популярни събития, които Sysmon следи:

  • Event ID 1 – Създаване на процес (Process Creation)

  • Event ID 3 – Мрежови връзки (Network Connection)

  • Event ID 8 – Достъп до процес (Process Access)

  • Event ID 11 – Създаване на файлове (File Creation)

  • Event ID 25 – Модификация на процеси (Process Tampering)

  • Event IDs 20 & 21 – WMI събития (WMI Events)

Microsoft също потвърди, че през следващата година ще публикува пълна документация за използването на Sysmon, ще добави нови функции за корпоративно управление и възможности за откриване на заплахи с ИИ.

За тези, които желаят да тестват или внедрят Sysmon веднага, инструментът все още може да се изтегли от сайта на Sysinternals и да се използват примерни конфигурации като тези на SwiftOnSecurity.

#microsoft, # Sysmon, # Windows 11, # Windows Server 2025, # сигурност
e-security.bg

Подобни

OpenAI представи Daybreak
14.05.2026
Cybersecurity data protection word concepts banner
Ransomware екосистемата отново се концентрира
13.05.2026
nuevo-ransomware
Google: ИИ вече се използва за създаване на zero-day експлойти
12.05.2026
google-account-security-100832892-large
NIST обновява насоките за защита на GPS и PNT системи
12.05.2026
NIST
ENISA разширява европейското участие в CVE програмата
12.05.2026
europe-2069532_640
Cкок на атаките след ескалация на конфликта в Персийския залив
7.05.2026
cybersecurity1

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy