Egyszerűbb telepítés, jobb védelem
A Sysmon lehetővé teszi, hogy egyedi konfigurációs fájlokkal szabd testre, milyen eseményeket figyeljen a rendszer: például folyamatok elindulását, hálózati kapcsolatokat, fájlmódosításokat vagy akár gyanús tevékenységeket is. Ezek az események mind bekerülnek a Windows eseménynaplójába, ahol egy helyen visszakereshetők, így sokkal könnyebb észrevenni az adatlopási és fertőzési próbálkozásokat. A vállalatok eddig csak macerásan, gépenként tudták telepíteni és frissíteni a Sysmont – mostantól azonban a Windows 11 beállításai között az opcionális funkcióknál pár kattintással aktiválható, és a rendszeres frissítésekről is automatikusan gondoskodik a Windows Update.
Bővülő funkciók és MI-alapú fenyegetésfigyelés
A Sysmon beépített verziója minden eddigi funkciót megőriz, emellett támogatja az egyéni konfigurációkat, fejlett eseményszűrést és a parancssorból is egyszerűen elindítható. Például egyetlen paranccsal bekapcsolható az alapfigyelés (sysmon -i), vagy bármilyen testreszabott szabályfájllal is irányítható a felügyelet (például sysmon -i valami.xml), ha csak bizonyos mappákban, például a C:ProgramData vagy C:Users könyvtárban keletkező futtatható fájlokat akarod naplózni.
A leghasznosabb naplóbejegyzések közé tartoznak a folyamatindítások, hálózati kapcsolatok, rendszerfolyamatokhoz való hozzáférés, fájlok létrehozása, alkalmazások manipulálása vagy a WMI-események naplózása. Segítségével felderíthető például a jelszótárolók elleni támadás vagy a tipikus hekkermódszerek.
Jövőre érkeznek a Sysmon részletes dokumentációja, a vállalati menedzsmentfunkciók és az MI-alapú fenyegetésészlelés is, hogy a rendszergazdák még gyorsabban reagálhassanak a támadásokra.
