Depositphotos
Microsoft почала поступово вбудовувати функціональність Sysmon безпосередньо в Windows 11. Нововведення вже тестують на частині комп’ютерів, підключених до програми Windows Insider.
Про плани нативної інтеграції Sysmon у Windows 11 і Windows Server компанія вперше повідомила ще в листопаді. Тоді ж Microsoft підтвердила, що згодом опублікує детальну документацію щодо цієї функції.
Sysmon (System Monitor) — це безкоштовний інструмент із набору Microsoft Sysinternals, який працює як системна служба та драйвер Windows. Він відстежує та блокує шкідливу або підозрілу активність, записуючи всі події до Windows Event Log. За замовчуванням Sysmon фіксує базові дії, зокрема запуск і завершення процесів, але його можна налаштувати для глибшого аналізу. Серед розширених можливостей — контроль створення виконуваних файлів, спроб втручання в процеси, змін у буфері обміну Windows і навіть автоматичне резервне копіювання видалених файлів.
Sysmon давно став популярним інструментом для пошуку загроз і діагностики складних проблем у Windows. Водночас раніше його потрібно було встановлювати вручну на кожен пристрій, що ускладнювало розгортання та адміністрування у великих корпоративних середовищах.
“Windows тепер нативно додає функціональність Sysmon. Функціональність Sysmon дає змогу фіксувати системні події, які можуть допомогти з виявленням загроз, а також використовувати власні файли конфігурації для фільтрації подій, які ви хочете відстежувати. Зафіксовані події записуються в журнал подій Windows, що дозволяє використовувати їх у засобах безпеки та для широкого спектра сценаріїв”, — повідомила команда програми Windows Insider.
Попри нативну підтримку, Sysmon вимкнений за замовчуванням. Користувачам потрібно вручну активувати його в налаштуваннях або через PowerShell чи командний рядок. Microsoft окремо наголошує, що перед увімкненням вбудованої версії слід видалити Sysmon, встановлений раніше з сайту.
Перейдіть до Settings > System > Optional features > More Windows features і встановіть прапорець Sysmon, або скористайтеся PowerShell чи командним рядком, виконавши команду:
Dism /Online /Enable-Feature /FeatureName:Sysmon
Щоб завершити встановлення, виконайте таку команду в PowerShell або Command Prompt:
sysmon -i
Нові можливості Sysmon уже почали надходити учасникам Windows Insider у каналах Beta та Dev, які встановили Windows 11 Preview Build 26220.7752 (KB5074177) і Windows 11 Preview Build 26300.7733 (KB5074178) відповідно.
Джерело: bleepingcomputer
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.