Microsoft ще интегрира Sysmon директно в Windows 11 и Windows Server 2025

Picture of Здравко Боджов
Здравко Боджов
Киберсигурност

Microsoft обяви, че ще интегрира Sysmon нативно в Windows 11 и Windows Server 2025 следващата година, което ще премахне необходимостта от отделното разполагане на инструментите от пакета Sysinternals.

„Следващата година, чрез актуализации на Windows 11 и Windows Server 2025, функционалността на Sysmon ще бъде налична директно в Windows“, се казва в съобщение от Марк Русинович, създател на Sysinternals.

„Функционалността на Sysmon позволява използването на персонализирани конфигурационни файлове за филтриране на заснетите събития. Тези събития се записват в Windows Event Log, като това позволява широк спектър от приложения, включително и от инструменти.“

Какво е Sysmon?


Sysmon (System Monitor) е безплатен инструмент на Microsoft Sysinternals, който може да се конфигурира за наблюдение и блокиране на злонамерена или подозрителна активност и за запис на събития в Windows Event Log.

По подразбиране Sysmon следи базови събития като създаване и прекратяване на процеси. Чрез напреднали конфигурационни файлове е възможно да се наблюдават сложни действия, като модификация на процеси, DNS заявки, създаване на изпълними файлове, промени в Windows clipboard и автоматично архивиране на изтрити файлове.

Sysmon е популярен инструмент за threat hunting и диагностика на устойчиви проблеми в Windows, но обикновено трябва да се инсталира индивидуално на всяко устройство, което затруднява управлението в големи ИТ среди.

С нативната поддръжка в Windows, потребителите и администраторите ще могат да го инсталират чрез диалоговия прозорец „Optional features“ в Windows 11 и да получават актуализации директно чрез Windows Update, което значително улеснява внедряването и управлението.

Microsoft потвърди, че вградените възможности ще запазят стандартния набор от функции на Sysmon, включително поддръжка на персонализирани конфигурационни файлове и напреднали филтри за събития.

Примери за използване:

  • За базово наблюдение:

sysmon -i

  • За наблюдение с персонализиран конфигурационен файл:

sysmon -i <name_of_config_file>

Например, за да се логват създавания на нови изпълними файлове в директориите C:\ProgramData\ и C:\Users\, конфигурационният файл може да изглежда така:

<Sysmon schemaversion="4.90">
<HashAlgorithms>MD5,SHA256</HashAlgorithms>
<EventFiltering>
<FileExecutableDetected onmatch="include">
<TargetFilename condition="begin with">C:\ProgramData\</TargetFilename>
<TargetFilename condition="begin with">C:\Users\</TargetFilename>
</FileExecutableDetected>
</EventFiltering>
</Sysmon>

След това, когато нов изпълним файл се създаде в тези директории, Windows го записва в Event Logs.

Популярни събития, които Sysmon следи:

  • Event ID 1 – Създаване на процес (Process Creation)

  • Event ID 3 – Мрежови връзки (Network Connection)

  • Event ID 8 – Достъп до процес (Process Access)

  • Event ID 11 – Създаване на файлове (File Creation)

  • Event ID 25 – Модификация на процеси (Process Tampering)

  • Event IDs 20 & 21 – WMI събития (WMI Events)

Microsoft също потвърди, че през следващата година ще публикува пълна документация за използването на Sysmon, ще добави нови функции за корпоративно управление и възможности за откриване на заплахи с ИИ.

За тези, които желаят да тестват или внедрят Sysmon веднага, инструментът все още може да се изтегли от сайта на Sysinternals и да се използват примерни конфигурации като тези на SwiftOnSecurity.

#microsoft, # Sysmon, # Windows 11, # Windows Server 2025, # сигурност
e-security.bg

Подобни

МЕУ обсъди с ИТ сектора развитието на националната система за киберсигурност
10.12.2025
MEU
Пет ключови елемента на ефективната киберсигурност чрез оценка на риска
10.12.2025
factory-1352544_640
Уязвимости на ниво 0–2 в ICS: новото поле на киберзаплахите
10.12.2025
industry-970151_640
Киберекспертите срещу дроновете: BAE Systems e за защита от новата заплаха
9.12.2025
drone-6021114_1280
Новите принципи за сигурна интеграция на ИИ в OT средите
9.12.2025
industry-3257263_640
Португалия въвежда законов „safe harbor“ за етични изследователи
8.12.2025
portugal-1561936_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Черният петък - реални сделки или маркетингов мираж?
27.11.2025
black_cat_Saro_o_Neal_Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.