Microsoft is begonnen met het integreren van Sysmon-functionaliteit in sommige Windows 11-systemen die deelnemen aan het Windows Insider-programma.

In november onthulde Microsoft plannen om Sysmon direct in Windows 11 en Windows Server op te nemen en kondigde ook aan dat er binnenkort uitgebreide documentatie zal verschijnen.

Sysmon, kort voor System Monitor, is een gratis tool van Microsoft Sysinternals die kwaadwillige of verdachte activiteiten in de gaten houdt en blokkeert, en deze vastlegt in de Windows Event Log.

Hoewel het standaard basisgebeurtenissen zoals procescreatie en -beëindiging monitort, kan het ook geconfigureerd worden om complexer gedrag te volgen, zoals het aanmaken van uitvoerbare bestanden, bewerkingen aan processen, wijzigingen in het Windows-klembord en zelfs automatisch back-ups maken van verwijderde bestanden.

Sysmon is een zeer populaire tool voor het diagnosticeren van hardnekkige Windows-problemen en voor threat hunting, maar moet normaal handmatig op elk apparaat worden geïnstalleerd. Dit maakt het lastig te beheren en implementeren in grote IT-omgevingen.

“Windows biedt nu Sysmon-functionaliteit direct in Windows aan. Sysmon maakt het mogelijk om systeemgebeurtenissen vast te leggen die helpen bij dreigingsdetectie en je kunt gebruik maken van aangepaste configuratiebestanden om de gebeurtenissen te filteren die je wilt monitoren,” aldus het Windows Insider-programma team.

“De vastgelegde gebeurtenissen worden geschreven in de Windows event log, waardoor ze met beveiligingsapps en voor tal van doeleinden kunnen worden gebruikt.”

Hoewel Sysmon nu standaard in Windows wordt ondersteund, is het standaard uitgeschakeld. Gebruikers moeten deze expliciet inschakelen via de volgende procedure (het is belangrijk om de eerder geïnstalleerde Sysmon van de website te verwijderen voordat je de ingebouwde versie inschakelt):

1. Ga naar Instellingen > Systeem > Optionele functies > Meer Windows-functies > en vink Sysmon aan of gebruik PowerShell of de opdrachtprompt:
2. Voer het volgende commando uit in PowerShell of de Opdrachtprompt om de installatie te voltooien:

De nieuwe optionele Sysmon-functies worden uitgerold naar Windows Insiders in de Beta- en Dev-kanalen die Windows 11 Preview Build 26220.7752 (KB5074177) en Windows 11 Preview Build 26300.7733 (KB5074178) hebben geïnstalleerd.

Vorige maand begon Microsoft ook met het testen van een nieuw beleid waarmee IT-beheerders de AI-aangedreven Copilot digitale assistent van beheerde apparaten kunnen verwijderen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.