Как заявили в Microsoft, в следующем году Sysmon будет встроен в Windows 11 и Windows Server 2025. Это означает, что отдельная установка System Monitor из пакета Sysinternals больше не понадобится. Sysmon — один из самых популярных инструментов для мониторинга и диагностики сложных проблем в Windows.
О планах сообщил создатель Sysinternals Марк Руссинович. Сейчас Sysmon приходится разворачивать вручную на каждом устройстве, что усложняет управление в корпоративных средах.
После интеграции достаточно будет установить компонент через меню «Дополнительные возможности» и получать обновления напрямую через Windows Update.
Как и раньше, Sysmon позволит использовать собственные конфигурационные файлы для фильтрации событий, которые будут записываться в журнал Windows.
Поддерживаются и базовые события — создание и завершение процессов — и продвинутые сценарии: отслеживание DNS-запросов, создание исполняемых файлов, вмешательство в процессы, изменения в буфере обмена и многое другое.
Microsoft обещает, что встроенная версия сохранит всю функциональность стандартного Sysmon, включая гибкую конфигурацию и расширенные фильтры событий. Администраторы смогут активировать мониторинг привычными командами:
Для базового режима:
<code>sysmon -i</code>
Для расширенного мониторинга с конфигом:
<code>sysmon -i <имя_файла_конфигурации></code>
Компания также готовит полноценную документацию по Sysmon, новые функции централизованного управления и интеграцию ИИ-механизмов для обнаружения угроз.
До релиза встроенной версии Sysmon можно продолжать использовать отдельный инструмент с сайта Sysinternals и ориентироваться на конфигурации, подготовленные SwiftOnSecurity.
Полноценное появление встроенного Sysmon ожидается в 2025 году вместе с обновлениями Windows.
