Microsoft начала постепенно встраивать функциональность Sysmon непосредственно в Windows 11. Нововведение уже тестируют на части компьютеров, подключенных к программе Windows Insider.
О планах нативной интеграции Sysmon в Windows 11 и Windows Server компания впервые сообщила еще в ноябре. Тогда же Microsoft подтвердила, что впоследствии опубликует подробную документацию по этой функции.
Sysmon (System Monitor) — это бесплатный инструмент из набора Microsoft Sysinternals, который работает как системная служба и драйвер Windows. Он отслеживает и блокирует вредоносную или подозрительную активность, записывая все события в журнал событий Windows. По умолчанию Sysmon фиксирует базовые действия, в частности запуск и завершение процессов, но его можно настроить для более глубокого анализа. Среди расширенных возможностей — контроль создания исполняемых файлов, попыток вмешательства в процессы, изменений в буфере обмена Windows и даже автоматическое резервное копирование удаленных файлов.
Sysmon давно стал популярным инструментом для поиска угроз и диагностики сложных проблем в Windows. В то же время раньше его нужно было устанавливать вручную на каждое устройство, что затрудняло развертывание и администрирование в крупных корпоративных средах.
«Windows теперь нативно добавляет функциональность Sysmon. Функциональность Sysmon позволяет фиксировать системные события, которые могут помочь с обнаружением угроз, а также использовать собственные файлы конфигурации для фильтрации событий, которые вы хотите отслеживать. Зафиксированные события записываются в журнал событий Windows, что позволяет использовать их в средствах безопасности и для широкого спектра сценариев», — сообщила команда программы Windows Insider.
Несмотря на нативную поддержку, Sysmon отключен по умолчанию. Пользователям нужно вручную активировать его в настройках или через PowerShell или командную строку. Microsoft отдельно подчеркивает, что перед включением встроенной версии следует удалить Sysmon, установленный ранее с сайта.
Перейдите в Settings > System > Optional features > More Windows features и установите флажок Sysmon, или воспользуйтесь PowerShell или командной строкой, выполнив команду:
Dism /Online /Enable-Feature /FeatureName:Sysmon
Чтобы завершить установку, выполните следующую команду в PowerShell или Command Prompt:
sysmon -i
Новые возможности Sysmon уже начали поступать участникам Windows Insider в каналах Beta и Dev, которые установили Windows 11 Preview Build 26220.7752 (KB5074177) и Windows 11 Preview Build 26300.7733 (KB5074178) соответственно.
Источник: bleepingcomputer
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: