.png){kind=logo}
Про плани додати Sysmon до Windows 11 і Windows Server компанія вперше повідомила ще в листопаді, зазначивши, що згодом опублікує детальну документацію щодо цієї функції.
Sysmon (System Monitor) — це безкоштовна утиліта з набору Microsoft Sysinternals. Вона працює як системна служба та драйвер Windows, відстежуючи підозрілі дії й записуючи їх до журналу подій. За замовчуванням Sysmon фіксує базові події, зокрема запуск і завершення процесів, однак його можна налаштувати для значно глибшого моніторингу. Серед розширених можливостей — відстеження створення виконуваних файлів, спроб втручання в роботу процесів, змін у буфері обміну та навіть автоматичне резервне копіювання файлів, що видаляються.
Раніше Sysmon був популярним інструментом для виявлення загроз і діагностики складних проблем у Windows, однак його доводилося встановлювати вручну на кожен пристрій, що ускладнювало розгортання у великих компаніях.
Попри вбудовану підтримку, Sysmon за замовчуванням вимкнений. Користувачам потрібно активувати його вручну через налаштування, PowerShell або командний рядок. У Microsoft наголошують, що перед увімкненням вбудованої версії необхідно видалити раніше встановлену з сайту утиліту Sysmon.
Джерело: bleepingcomputer
