Компания Microsoft начала развертывание встроенной функциональности Sysmon для некоторых систем Windows 11, зарегистрированных в программе Windows Insider.
Microsoft впервые объявила о планах интегрировать Sysmon нативно в Windows 11 и Windows Server в ноябре, тогда же подтвердив скорый выпуск подробной документации.
Sysmon (System Monitor) — это бесплатный инструмент Microsoft Sysinternals (а также системная служба и драйвер устройства Windows), который отслеживает и блокирует вредоносную/подозрительную активность, записывая ее в журнал событий Windows.
По умолчанию он отслеживает базовые события, такие как создание и завершение процессов, но также может быть настроен для мониторинга более сложного поведения, включая создание исполняемых файлов, вмешательство в процессы, изменения буфера обмена Windows и даже автоматическое резервное копирование удаленных файлов.
Хотя Sysmon является очень популярным инструментом для диагностики упорных проблем Windows и для поиска угроз (threat hunting), обычно его необходимо устанавливать вручную на каждое устройство, что затрудняет управление и развертывание в крупных ИТ-средах.
«Теперь Windows нативно предоставляет функциональность Sysmon. Sysmon позволяет фиксировать системные события, которые могут помочь в обнаружении угроз, а с помощью пользовательских конфигурационных файлов можно фильтровать отслеживаемые события», — сообщила во вторник команда программы Windows Insider.
«Зафиксированные события записываются в журнал событий Windows, что позволяет использовать их с приложениями безопасности и для широкого круга задач».
Несмотря на то, что Sysmon теперь нативно поддерживается в Windows, по умолчанию он отключен, и пользователи должны явно включить его, выполнив следующую процедуру (важно отметить, что перед включением встроенного Sysmon необходимо удалить Sysmon, установленный с веб-сайта):
- Перейдите в «Параметры» > «Система» > «Дополнительные компоненты» > «Другие компоненты Windows» > отметьте Sysmon или выполните в PowerShell или командной строке:
-
Dism /Online /Enable-Feature /FeatureName:Sysmon
-
- Выполните следующую команду из PowerShell или командной строки для завершения установки:
-
sysmon -i
-
Новые дополнительные возможности Sysmon развертываются для участников программы Windows Insiders в каналах Beta и Dev, установивших Windows 11 Preview Build 26220.7752 (KB5074177) и Windows 11 Preview Build 26300.7733 (KB5074178) соответственно.
В прошлом месяце Microsoft также начала тестирование новой политики, которая позволяет ИТ-администраторам удалять ИИ-помощника Copilot с управляемых устройств.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan




