Az új Windows már önállóan lefüleli a gyanús tevékenységeket

Egyszerűbb telepítés, jobb védelem

A Sysmon lehetővé teszi, hogy egyedi konfigurációs fájlokkal szabd testre, milyen eseményeket figyeljen a rendszer: például folyamatok elindulását, hálózati kapcsolatokat, fájlmódosításokat vagy akár gyanús tevékenységeket is. Ezek az események mind bekerülnek a Windows eseménynaplójába, ahol egy helyen visszakereshetők, így sokkal könnyebb észrevenni az adatlopási és fertőzési próbálkozásokat. A vállalatok eddig csak macerásan, gépenként tudták telepíteni és frissíteni a Sysmont – mostantól azonban a Windows 11 beállításai között az opcionális funkcióknál pár kattintással aktiválható, és a rendszeres frissítésekről is automatikusan gondoskodik a Windows Update.

Bővülő funkciók és MI-alapú fenyegetésfigyelés

A Sysmon beépített verziója minden eddigi funkciót megőriz, emellett támogatja az egyéni konfigurációkat, fejlett eseményszűrést és a parancssorból is egyszerűen elindítható. Például egyetlen paranccsal bekapcsolható az alapfigyelés (sysmon -i), vagy bármilyen testreszabott szabályfájllal is irányítható a felügyelet (például sysmon -i valami.xml), ha csak bizonyos mappákban, például a C:ProgramData vagy C:Users könyvtárban keletkező futtatható fájlokat akarod naplózni.

A leghasznosabb naplóbejegyzések közé tartoznak a folyamatindítások, hálózati kapcsolatok, rendszerfolyamatokhoz való hozzáférés, fájlok létrehozása, alkalmazások manipulálása vagy a WMI-események naplózása. Segítségével felderíthető például a jelszótárolók elleni támadás vagy a tipikus hekkermódszerek.

Jövőre érkeznek a Sysmon részletes dokumentációja, a vállalati menedzsmentfunkciók és az MI-alapú fenyegetésészlelés is, hogy a rendszergazdák még gyorsabban reagálhassanak a támadásokra.

2025, adrienne, www.bleepingcomputer.com alapján