A Microsoft revelou uma mudança significativa para os administradores de sistemas e profissionais de segurança: o popular utilitário Sysmon (System Monitor) será integrado nativamente no sistema operativo a partir do próximo ano. A novidade foi confirmada por Mark Russinovich, o criador das ferramentas Sysinternals, através de um anúncio oficial.
Esta integração abrange tanto o Windows 11 como o Windows Server 2025, eliminando a necessidade de descarregar e implementar a ferramenta separadamente como acontecia até agora.
O fim da instalação manual
Atualmente, o Sysmon é uma ferramenta gratuita da suite Sysinternals que necessita de ser instalada individualmente em cada dispositivo. Este processo pode tornar a gestão e a cobertura em grandes ambientes de TI mais complexa e trabalhosa. Com a mudança prevista para o próximo ano, a ferramenta passará a ser suportada nativamente pelo Windows.
Os utilizadores e administradores poderão instalar o Sysmon diretamente através da caixa de diálogo "Funcionalidades opcionais" nas definições do Windows 11. Uma das grandes vantagens desta alteração é que as atualizações de software passarão a ser recebidas diretamente através do Windows Update, simplificando drasticamente a manutenção e a implementação em larga escala.
Potência de monitorização reforçada
Apesar da integração nativa, a Microsoft garante que as capacidades integradas manterão o conjunto de funcionalidades padrão do Sysmon. Isto inclui o suporte para ficheiros de configuração personalizados e filtragem avançada de eventos.
O Sysmon é amplamente utilizado para a caça a ameaças e diagnóstico de problemas persistentes, permitindo monitorizar e bloquear atividades maliciosas ou suspeitas. Por defeito, a ferramenta monitoriza eventos básicos, como a criação e o fim de processos. No entanto, o seu verdadeiro poder reside na capacidade de utilizar configurações avançadas para vigiar comportamentos mais complexos, tais como:
Violação de processos (Process tampering);
Consultas de DNS;
Criação de ficheiros executáveis;
Alterações na área de transferência do Windows;
Cópia de segurança automática de ficheiros eliminados.
Todos estes eventos são registados no log de eventos do Windows, permitindo uma vasta gama de casos de uso, incluindo a integração com aplicações de segurança.
Como vai funcionar
Uma vez instalado através das funcionalidades opcionais, os administradores poderão ativar o serviço através da Linha de Comandos. Para uma monitorização básica, será utilizado o comando sysmon -i. Para uma monitorização mais avançada, recorrendo a um ficheiro de configuração personalizado, o comando será sysmon -i .
Entre os eventos populares registados pela ferramenta encontram-se o ID 1 (Criação de Processo), útil para detetar atividade suspeita na linha de comandos, o ID 3 (Ligação de Rede) para detetar anomalias de tráfego, e o ID 25 (Violação de Processo), que ajuda a identificar técnicas de evasão como o "process hollowing".
A gigante tecnológica confirmou ainda que irá lançar, finalmente, documentação abrangente sobre a utilização do Sysmon no próximo ano. Além disso, estão previstas novas funcionalidades de gestão empresarial e capacidades de deteção de ameaças impulsionadas por inteligência artificial.
Para quem não quiser esperar pela integração nativa, a ferramenta continua disponível no site da Sysinternals, sendo possível utilizar recursos da comunidade, como a configuração de exemplo da SwiftOnSecurity, para otimizar a sua utilização imediata.
Nenhum comentário
Seja o primeiro!