В Windows 11 появилась функция для обнаружения киберугроз

В последних сборках Windows 11 для участников программы Insider (каналы Dev и Beta) появилась возможность включить Sysmon как встроенную опциональную компоненту. Ранее эту утилиту из набора Sysinternals требовалось устанавливать отдельно.

Sysmon предназначена для регистрации системных событий, включая запуск процессов, сетевые подключения, изменения в реестре и операции с файлами. Данные сохраняются в журнале событий Windows и могут использоваться для анализа поведения системы. По умолчанию функция отключена. Активировать её можно через раздел «Параметры» → «Система» → «Дополнительные функции» → «Другие функции Windows» или с помощью PowerShell.

Перед активацией встроенной версии Sysmon на устройстве рекомендуется удалить автономную версию, как советует Microsoft. Для работы инструмента требуется внешний файл конфигурации, определяющий набор отслеживаемых событий. Без такого файла объём записываемых данных может значительно увеличиться.

Sysmon не выполняет функции защиты в реальном времени: она не блокирует процессы, не генерирует оповещения и не имеет пользовательского интерфейса. Её назначение — запись событий для последующего анализа.

Интеграция утилиты в состав Windows 11 устраняет необходимость ручной загрузки исполняемого файла и позволяет управлять её наличием через стандартные механизмы операционной системы. Однако для интерпретации собранных данных требуется стороннее программное обеспечение и специализированные знания.

Источник: clubic