Microsoft bugün Sysmon'u gelecek yıl Windows 11 ve Windows Server 2025'e yerel olarak entegre edeceğini ve böylece bağımsız Sysinternals araçlarının dağıtımını gereksiz hale getireceğini duyurdu.
Sysinternals'ın yaratıcısı Mark Russinovich'in bir duyurusu şöyle: "Gelecek yıl, Windows 11 ve Windows Server 2025 için Windows güncellemeleri, Sysmon işlevselliğini Windows'a yerel olarak getirecek."
"Sysmon işlevselliği, yakalanan olayları filtrelemek için özel yapılandırma dosyalarını kullanmanıza olanak tanır. Bu olaylar, Windows olay günlüğüne yazılır. Güvenlik uygulamaları da dahil olmak üzere çok çeşitli kullanım durumlarına olanak tanır."
Sysmon (veya Sistem Monitörü), kötü amaçlı/şüpheli etkinlikleri izlemek ve engellemek ve olayları Windows Olay Günlüğüne kaydetmek üzere yapılandırılabilen ücretsiz bir Microsoft Sysinternals aracıdır.
Varsayılan olarak Sysmon, süreç oluşturma ve sonlandırma gibi temel olayları izler. Ancak, süreç üzerinde değişiklik yapma, DNS sorguları, yürütülebilir dosya oluşturma, Windows panosu değişiklikleri ve silinen dosyaları otomatik olarak yedekleme gibi daha gelişmiş davranışları izlemenize ve gerçekleştirmenize olanak tanıyan gelişmiş yapılandırma dosyaları oluşturmak mümkündür.
Sysmon, Windows'ta tehdit avlamak ve kalıcı sorunları teşhis etmek için çok popüler bir araçtır, ancak normalde cihazlara ayrı ayrı yüklenmesi gerekir, bu da yönetimi zorlaştırır ve büyük BT ortamlarında kapsamı azaltır.
Sysmon artık Windows'ta yerel olarak desteklendiğinden, kullanıcılar ve yöneticiler bunu Windows 11'in "İsteğe bağlı özellikler" ayarlar iletişim kutusu aracılığıyla yükleyebilir ve yeni yazılım güncellemelerini doğrudan Windows Update aracılığıyla alabilir, böylece dağıtım ve yönetim çok daha kolay hale gelir.
Microsoft, yerleşik yeteneklerin, özel yapılandırma dosyaları desteği ve gelişmiş olay filtreleme dahil olmak üzere Sysmon'un standart özellik kümesini koruyacağını söylüyor.
Kurulduktan sonra yöneticiler, temel izleme için aşağıdaki komutu kullanarak Komut İstemi aracılığıyla bunu etkinleştirebilir:
Özel bir yapılandırma dosyası kullanarak daha gelişmiş izleme için kullanıcılar aşağıdaki komutu kullanarak dosyayı dağıtabilirler:
Örneğin, C:\ProgramData\ ve C:\Users\ klasörleri altında yeni yürütülebilir dosyalar oluşturulduğunda günlüğe kaydetmek istiyorsanız aşağıdaki yapılandırma dosyasını kullanabilirsiniz:
Artık bu dizinlerden birinde yeni bir yürütülebilir dosya oluşturulduğunda, Windows bunu aşağıda gösterildiği gibi Olay Günlüklerine kaydeder.
Sysmon tarafından kaydedilen diğer popüler etkinlikler şunları içerir:
Microsoft ayrıca, Sysmon'un kullanımına ilişkin kapsamlı belgeleri nihayet gelecek yıl yayınlayacağını ve bunun yanı sıra yeni kurumsal yönetim özellikleri ve yapay zeka destekli tehdit algılama yetenekleri getireceğini de doğruladı.
Şimdilik, Sysmon'u ortamınızda test etmek veya dağıtmak istiyorsanız bunu Sysinternals sitesindeki bireysel aracı kullanarak ve SwiftOnSecurity'nin örnek Sysmon yapılandırmasını inceleyerek yapabilirsiniz.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
Microsoft: Son Windows güncellemeleri bazı bilgisayarlarda oturum açma sorunlarına neden oluyor
Windows 11'e yeni Bulut Yeniden Oluşturma, Belirli Bir Noktaya Geri Yükleme araçları geliyor
Windows 11 artık yerel geçiş anahtarı yönetimi için 3. taraf uygulamaları destekliyor
Microsoft, performansı etkileyen Windows Görev Yöneticisi hatasını düzeltti
Microsoft: Windows 11 23H2 Home ve Pro desteğinin sonuna ulaştı
Kaynak: Bleeping Computer