A Microsoft anunciou que, a partir do próximo ano, integrará o Sysmon nativamente ao Windows 11 e ao Windows Server 2025, eliminando a necessidade de instalar o pacote standalone do Sysinternals.
Segundo Mark Russinovich, criador do Sysinternals, “as atualizações do Windows 11 e do Windows Server 2025 trarão a funcionalidade do Sysmon de forma nativa no sistema”.
Ele explica que o Sysmon permite o uso de arquivos de configuração personalizados para filtrar os eventos capturados, que são registrados no log de eventos do Windows, ampliando seu uso em aplicações de segurança e análises detalhadas.
O Sysmon (System Monitor) é uma ferramenta gratuita da Microsoft, parte do conjunto Sysinternals, que pode ser configurada para monitorar e bloquear atividades maliciosas ou suspeitas, registrando eventos no Windows Event Log.
Por padrão, ele acompanha eventos básicos como a criação e finalização de processos.
Porém, com configurações avançadas, é possível monitorar manipulação de processos, consultas DNS, criação de executáveis, alterações na área de transferência do Windows e até realizar backup automático de arquivos deletados.
A ferramenta é amplamente utilizada para threat hunting e diagnóstico de problemas persistentes em ambientes Windows.
Contudo, seu uso tradicional exigia instalação individual em cada máquina, dificultando a gestão e reduzindo a cobertura em grandes ambientes corporativos.
Com a integração nativa, o Sysmon poderá ser instalado diretamente pelo painel de “Optional Features” do Windows 11 e passará a receber atualizações automaticamente via Windows Update, simplificando sua implantação e manutenção.
A Microsoft garante que as funcionalidades tradicionais do Sysmon serão mantidas, incluindo suporte a arquivos de configuração personalizados e filtros avançados de eventos.
Após a instalação, é possível habilitar a monitoração básica pelo Prompt de Comando com um comando simples.
Para o monitoramento avançado, que utiliza arquivos de configuração customizados, outro comando permite ativar essa função conforme a necessidade do administrador.
Por exemplo, para registrar a criação de novos executáveis nas pastas C:\ProgramData\ e C:\Users\, pode-se usar um arquivo de configuração específico que gera logs sempre que um novo arquivo for criado nesses diretórios.
Entre os eventos mais monitorados e registrados pelo Sysmon estão:
- Event ID 1 – Criação de processo: útil para detectar atividades suspeitas em linha de comando.
- Event ID 3 – Conexão de rede: registra conexões de saída, importante para identificar anomalias e comunicação com servidores de comando e controle (C2).
- Event ID 8 – Acesso a processo: pode revelar tentativas de acesso ao processo LSASS, comum em roubo de credenciais.
- Event ID 11 – Criação de arquivo: acompanha a geração de scripts, frequentemente usados em estágios de ataques malware.
- Event ID 25 – Manipulação de processo: identifica técnicas como process hollowing e outras formas de evasão.
- Event IDs 20 e 21 – Eventos WMI: captura atividades persistentes via consumidores e filtros WMI.
Além disso, a Microsoft confirmou que, em 2025, lançará documentação detalhada para o uso do Sysmon, implementará novos recursos de gerenciamento corporativo e incorporará capacidades de detecção de ameaças com suporte de inteligência artificial.
Enquanto isso, para quem deseja experimentar ou implantar o Sysmon, a ferramenta continua disponível no site do Sysinternals, e exemplos de configuração, como os oferecidos pela comunidade SwiftOnSecurity, são bons pontos de partida.
Essa incorporação nativa do Sysmon promete facilitar sua adoção e aprimorar a segurança em ambientes Windows, beneficiando desde usuários básicos até especialistas em cibersegurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...