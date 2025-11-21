Microsoft анонсировала, что в 2026 году интегрирует популярный инструмент Sysmon напрямую в Windows 11 и Windows Server 2025. Об этом объявил создатель Sysinternals Марк Руссинович (Mark Russinovich).

Sysmon (System Monitor) — бесплатный инструмент Microsoft Sysinternals для мониторинга и блокировки подозрительной активности в Windows. События логируются в журнал Windows Event Log, что делает инструмент незаменимым для поиска угроз и диагностики проблем.

По умолчанию Sysmon отслеживает базовые события вроде создания и завершения процессов, но через кастомные файлы конфигурации можно следить за вмешательством в процессы, DNS-запросами, созданием исполняемых файлов, изменениях буфера обмена, автоматически бэкапить удаленные файлы и так далее.

В настоящее время Sysmon нужно устанавливать индивидуально на каждое устройство, что затрудняет управление в крупных ИТ-средах. Нативная поддержка должна решить эту проблему, так как пользователи смогут устанавливать инструмент через Optional features («Дополнительные компоненты») в Windows 11 и получать обновления напрямую через Windows Update.

В Microsoft обещают сохранить всю стандартную функциональность, включая поддержку кастомных конфигураций и расширенную фильтрацию событий.

После установки администраторы смогут включить Sysmon через командную строку ( sysmon -i или для мониторинга с кастомным конфигом sysmon -i <имя_конфиг_файла> ).

Также представители Microsoft сообщили, что в 2026 году выпустят полную документацию по Sysmon, добавят новые функции управления для предприятий и возможности для обнаружения угроз при помощи ИИ.