Компания Microsoft начала официальное внедрение нативной функциональности System Monitor (Sysmon) в Windows 11, что знаменует собой важный сдвиг для специалистов по поиску угроз и центров мониторинга безопасности (SOC). Этот шаг существенно упрощает сбор данных для расследований киберинцидентов в корпоративной среде.
Обновление, выпущенное в рамках предварительной сборки Windows 11 Insider Preview Build 26300.7733 (канал Dev) 3 февраля 2026 года, встраивает популярный инструмент Sysinternals непосредственно в раздел дополнительных возможностей операционной системы. Ранее Sysmon был критически важной автономной утилитой для кибербезопасности, используемой для мониторинга и записи активности системы в журнал событий Windows. Нативная интеграция упрощает развертывание в крупных организациях. Теперь администраторы могут отслеживать глубокие системные события, такие как создание процессов и сетевые подключения, без необходимости управлять загрузками стороннего ПО.
Технически новая встроенная версия функционирует идентично автономной. Она поддерживает использование пользовательских конфигурационных файлов для фильтрации событий и снижения информационного шума в журналах. Однако по умолчанию функция отключена. Администраторам необходимо явно активировать её через приложение «Параметры» или с помощью PowerShell. Важное предостережение: если на системе уже установлен автономный агент Sysinternals Sysmon, его необходимо удалить перед включением нативной функции Windows во избежание конфликтов. Для активации через PowerShell или командную строку следует использовать команду
| 1 | Dism /Online /Enable-Feature /FeatureName:Sysmon |
После этого установку нужно завершить командой:
| 1 | sysmon -i |
Также управление функцией доступно через графический интерфейс по пути: «Параметры» > «Система» > «Дополнительные компоненты» > «Другие компоненты Windows».
Выпуск связан с обновлением KB5074178 (версия 25H2). Помимо новых возможностей безопасности, данная сборка устраняет несколько проблем стабильности. В частности, исправлена ошибка, из-за которой приложения зависали при взаимодействии с файлами, хранящимися в OneDrive или Dropbox. Также решена проблема, вызывавшая зависание Outlook при размещении PST-файлов в облачном хранилище. Дополнительно в сборку добавлена поддержка функции голосового управления для локали Нидерландов.
Интеграция Sysmon в ядро ОС указывает на то, что Microsoft уделяет повышенное внимание доступности расширенной телеметрии «из коробки». Этот подход упрощает для защитников процесс сбора индикаторов компрометации (IOC). Встроенный инструмент позволяет эффективно документировать действия потенциально вредоносного программного обеспечения, включая методы обеспечения устойчивости и выполнение вредоносной полезной нагрузки (payload). Следовательно, переход от стороннего инструмента к системному компоненту снижает операционные издержки на развертывание и поддержку, что особенно ценно для крупных SOC. Таким образом, Microsoft делает профессиональные средства мониторинга более доступными, укрепляя встроенную защиту своей флагманской ОС.
