Sysmon ist bald fester Bestandteil von Windows 11 und Windows Server 2025.
Microsoft will das Diagnose-Tool ab kommendem Jahr standardmässig in die beiden Systeme integrieren. Das hat Microsoft-CTO und Sysinternals-Entwickler Mark Russinovich in einem
Blog-Beitrag verkündet.
Bisher war Sysmon Teil des Toolsets Sysinternals und hier bei vielen IT-Administratoren sehr beliebt. Es hilft bei der Erkennung von Identitätsdiebstahl, deckt heimliche laterale Bewegungen auf und unterstützt forensische Untersuchungen. Seine detaillierten Diagnosedaten können SIEM-Pipelines (Security Information and Event Management) speisen und sollen es ermöglichen, auch fortgeschrittene Angriffe zu erkennen, erklärt Russinovich.
Die Bereitstellung und Wartung von Sysmon war jedoch bisher eine zeitaufwändige manuelle Aufgabe. Das soll sich mit der nativen Integration in Windows ändern. Admins können dann benutzerdefinierte Konfigurationsdateien verwenden, um erfasste Ereignisse zu filtern. Diese Ereignisse werden dann in das Windows-Ereignisprotokoll geschrieben.
Dieser Schritt erfolgt wiederum im Zuge von Microsofts Secure Future Initiative (SFI). Mit dieser wollen die Redmonder die Sicherheit von Windows-Systemen an vielen Stellen erhöhen.
(sta)
