Microsoft начала постепенно внедрять функционал Sysmon прямо в Windows 11 среди участников программы Windows Insider.

О планах интеграции Sysmon в Windows 11 и Windows Server компания впервые рассказала еще в ноябре, добавив, что позже опубликует подробную документацию по этой функции.

Sysmon (System Monitor) — это бесплатная утилита из набора Microsoft Sysinternals. Она работает как системная служба и драйвер Windows, отслеживая подозрительные действия и записывая их в журнал событий. По умолчанию Sysmon фиксирует базовые события, например запуск и завершение процессов, однако его можно настроить для более глубокого мониторинга. Среди расширенных функций — отслеживание создания исполняемых файлов, попыток вмешательства в процессы, изменений в буфере обмена и даже автоматическое резервное копирование удаляемых файлов.

Ранее Sysmon пользовался популярностью как инструмент для обнаружения угроз и диагностики сложных проблем в Windows, но его приходилось устанавливать вручную на каждом устройстве, что осложняло развертывание в крупных компаниях.

Несмотря на встроенную поддержку, Sysmon по умолчанию отключен. Пользователям нужно активировать его вручную через настройки, PowerShell или командную строку. Microsoft подчеркивает, что перед включением встроенной версии необходимо удалить ранее установленную с сайта утилиту Sysmon.