Koelman.IT

Stay Hungry, Stay Foolish 💡


Microsoft gaat Sysmon direct integreren in Windows 11 en Server 2025

Sysmon Wordt Natuurlijke Onderdeel van Windows 11

Microsoft heeft vandaag aangekondigd dat Sysmon vanaf volgend jaar standaard geïntegreerd zal worden in Windows 11 en Windows Server 2025. Dit betekent dat de afzonderlijke Sysinternals-tools niet meer los geïnstalleerd hoeven te worden.

"In 2024 zullen Windows-updates Sysmon-functionaliteit direct in Windows integreren," aldus Mark Russinovich, de maker van Sysinternals.

De Sysmon-functionaliteit maakt het mogelijk om gebruik te maken van aangepaste configuratiebestanden om gebeurtenissen te filteren die worden vastgelegd in de Windows-eventlog. Dit wordt veel gebruikt door beveiligingsapps.

Wat is Sysmon?

Sysmon, oftewel System Monitor, is een gratis tool van Microsoft Sysinternals om verdachte activiteiten te monitoren en te blokkeren, en om gebeurtenissen te loggen in de Windows Event Log.

Standaard houdt Sysmon basisactiviteiten bij, zoals het starten en stoppen van processen. Echter, met geavanceerde configuratiebestanden kun je meer gedetailleerde activiteiten monitoren zoals DNS-queries, het maken van uitvoerbare bestanden en meer.

Sysmon is populair voor het opsporen van dreigingen en het diagnosticeren van problemen in Windows. Tot nu toe moest je het op elk apparaat installeren, wat het beheer lastiger maakte in grote IT-omgevingen.

Met de nieuwe integratie in Windows kunnen gebruikers en beheerders Sysmon eenvoudig installeren via de "Optionele functies" in Windows 11 en updates ontvangen via Windows Update.

Hoe gebruik je Sysmon?

Na installatie kunnen beheerders Sysmon activeren via de Opdrachtprompt met:

sysmon -i

Voor geavanceerde monitoring met een aangepast configuratiebestand gebruik je:

sysmon -i

Wil je bijvoorbeeld nieuwe uitvoerbare bestanden loggen in bepaalde mappen, dan gebruik je een configuratiebestand dat deze gebeurtenissen vastlegt.

Populaire Sysmon-evenementen

  • Event ID 1: Procescreatie, handig voor het opsporen van verdachte activiteiten.
  • Event ID 3: Netwerkverbindingen loggen voor het opsporen van abnormale activiteiten.
  • Event ID 8: Toegang tot processen om credential dumping op te sporen.
  • Event ID 11: Het aanmaken van scriptbestanden, vaak gebruikt bij malware.
  • Event ID 25: Procesmanipulatie identificeren.
  • Event ID’s 20 & 21: Persistentie door WMI-gebeurtenissen vastleggen.

Toekomstige Updates

Microsoft kondigde ook aan dat er uitgebreide documentatie over het gebruik van Sysmon zal komen, samen met nieuwe enterprise management features en AI-gedreven dreigingsdetectie.

Wil je nu al met Sysmon aan de slag, bezoek dan de Sysinternals-site en bekijk de voorbeeldconfiguratie van SwiftOnSecurity.

Budgettips voor 2026

Meer dan 300 beveiligingsleiders bespreken in een nieuw rapport hun strategieën en prioriteiten voor de toekomst. Download het rapport om meer te weten te komen over hun inzichten en hoe ze van investeringen meetbare resultaten maken.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.