Sysmon 原生功能即将登陆 Windows

wwwab

微软 (MICROSOFT)
2025年11月19日
作者: Mark Russinovich

明年，您将能够通过 Windows 中原生提供的系统监视器 (Sysmon) 功能，即时获得威胁可见性并简化安全操作！
作为 Sysinternals 的一部分，Sysmon 长期以来一直是 IT 管理员、安全专业人员和威胁猎手寻求深入了解 Windows 系统的首选工具。它有助于检测凭据盗窃、揭露隐蔽的横向移动，并为取证调查提供支持。其精细的诊断数据为安全信息和事件管理 (SIEM) 管道提供信息，并使防御者能够发现高级攻击。
但是，在整个数字资产中部署和维护 Sysmon 一直是一项手动且耗时的任务。您需要下载二进制文件并在成千上万的终端上一致地应用更新。当更新滞后时，操作开销会带来风险。并且，在生产环境中 Sysmon 缺乏官方的客户支持，为您的组织带来了额外的风险和额外的维护负担。
这种情况将不复存在！
Windows 原生集成 Sysmon 功能：为何重要
明年，Windows 11 和 Windows Server 2025 的 Windows 更新将把 Sysmon 功能原生地带到 Windows 中。Sysmon 功能允许您使用自定义配置文件来筛选捕获的事件。这些事件被写入 Windows 事件日志，支持包括安全应用程序在内的广泛用例。
它能为您解决哪些操作痛点？
• 即时威胁可见性：开箱即用，无需部署。
• 相同的丰富功能：包括对自定义配置文件的支持。
• 无需单独下载或手动部署：作为操作系统的一部分提供。
• 自动化合规性：更新通过 Windows Update 自动推送。
• 降低操作风险：减少版本漂移和兼容性问题。
• 官方客户服务支持：不再是社区工具，获得微软官方支持。
以下是 Windows 原生集成 Sysmon 功能如何与微软安全未来倡议 (Secure Future Initiative - SFI) 支柱保持一致：
• 有助于降低复杂性并消除手动部署造成的差距（设计安全）。
• 有助于提供开箱即用的高级安全诊断数据（安全运营）。
关键功能及使用方法
Windows 中的 Sysmon 功能具有可配置和可筛选的事件，易于激活，并通过您熟悉的工具提供丰富、可定制的检测信号。得益于每月的 Windows 更新，Sysmon 功能始终保持最新状态，包含所有必要的修复和新功能。
激活 Windows 中的 Sysmon 功能
明年，您可以通过“启用或关闭 Windows 功能”来启用 Windows 中的 Sysmon 功能。
然后通过命令提示符 (Command Prompt) 或 cmd.exe 执行一条命令即可安装：

1. sysmon -i

复制代码

此命令会安装驱动程序并立即启动 Sysmon 服务（使用默认配置）。全面文档将在功能正式发布时提供。
通过丰富信号检测威胁
Windows 中的 Sysmon 功能提供丰富的内置检测信号，为高级威胁检测和取证分析提供动力。无需额外部署软件，您可以从以下任一渠道获取这些信号：
• Windows 事件日志：位于  应用程序和服务日志/Microsoft/Windows/Sysmon/Operational
• 安全应用程序：例如 SIEM
无论您使用哪个渠道，以下是您可以审核的 Sysmon 检测事件示例：
• 事件 ID 1 – 进程创建：检测可疑的命令行活动（例如， powershell -nop -w hidden ），常用于无文件攻击。
• 事件 ID 3 – 网络连接：标记意外的出站连接（例如， 185.199.x.x:443 ），可能指示命令与控制 (C2) 流量。
• 事件 ID 8 – 远程线程创建：暴露凭据转储尝试（例如，通过  comsvcs.dll  访问本地安全机构子系统服务 (LSASS) 内存）。
• 事件 ID 11 – 文件创建：检测在临时目录中创建可疑脚本（例如， C:\Users\Public\temp\update.ps1 ）。
• 事件 ID 25 – 进程篡改：识别用于隐藏恶意软件的进程镂空 (process hollowing) 和 herpaderping 技术。
• 事件 ID 20 & 21 – WMI 事件：捕获 Windows Management Instrumentation (WMI) 持久化机制（例如， WmiEventConsumer  活动）。
有关事件完整列表及配置方法，请查阅 Sysmon – Sysinternals。
开始使用 Windows 中的 Sysmon 功能
Sysmon 功能将在明年的 Windows 更新中广泛提供。要立即开始准备：
1. 探索 GitHub 社区配置模板：
  • Sysmon 配置文件模板（带默认高质量事件追踪）
  • Sysmon 配置知识库
2. 访问 Microsoft Ignite 大会的 Windows Server 展台，体验 Windows 中的 Sysmon 功能。
3.  syssite@microsoft.com 。您的意见将塑造 Windows 威胁检测的下一个篇章。
将 Sysmon 功能引入 Windows 仅仅是个开始。 我们计划继续投资于其他能力，例如企业级规模管理和人工智能驱动的推理 (AI-powered inferencing)。想象一下，凭借精细的诊断数据和运行在设备本地的 AI 推理，能够如此快速地检测凭据盗窃尝试或横向移动模式。这对于企业安全来说是一个重大变革——将丰富的操作系统级信号与边缘 AI 相结合，有助于缩短驻留时间 (dwell time) 并提高弹性。


来源: 《Native Sysmon functionality coming to Windows》(https://techcommunity.microsoft.com/blog/windows-itpro-blog/native-sysmon-functionality-coming-to-windows/4468112)

00006666

对大多数个人用户没什么帮助，对安全运维有帮助