Microsoft встроит Sysmon прямо в Windows 11 и Windows Server 2025

Как заявили в Microsoft, в следующем году Sysmon будет встроен в Windows 11 и Windows Server 2025. Это означает, что отдельная установка System Monitor из пакета Sysinternals больше не понадобится. Sysmon — один из самых популярных инструментов для мониторинга и диагностики сложных проблем в Windows.

О планах сообщил создатель Sysinternals Марк Руссинович. Сейчас Sysmon приходится разворачивать вручную на каждом устройстве, что усложняет управление в корпоративных средах.

После интеграции достаточно будет установить компонент через меню «Дополнительные возможности» и получать обновления напрямую через Windows Update.

Как и раньше, Sysmon позволит использовать собственные конфигурационные файлы для фильтрации событий, которые будут записываться в журнал Windows.

Поддерживаются и базовые события — создание и завершение процессов — и продвинутые сценарии: отслеживание DNS-запросов, создание исполняемых файлов, вмешательство в процессы, изменения в буфере обмена и многое другое.

Microsoft обещает, что встроенная версия сохранит всю функциональность стандартного Sysmon, включая гибкую конфигурацию и расширенные фильтры событий. Администраторы смогут активировать мониторинг привычными командами:

Для базового режима:

<code>sysmon -i</code>

Для расширенного мониторинга с конфигом:

<code>sysmon -i <имя_файла_конфигурации></code>

Компания также готовит полноценную документацию по Sysmon, новые функции централизованного управления и интеграцию ИИ-механизмов для обнаружения угроз.

До релиза встроенной версии Sysmon можно продолжать использовать отдельный инструмент с сайта Sysinternals и ориентироваться на конфигурации, подготовленные SwiftOnSecurity.

Полноценное появление встроенного Sysmon ожидается в 2025 году вместе с обновлениями Windows.