為了消除安全團隊多年來的手動部署摩擦,微軟將其先進的取證工具系統監視器 (Sysmon) 直接集成到 Windows 內核中。
Azure 首席技術官 Mark Russinovich 確認了 Windows 11 和 Server 2025 的轉變,將獨立實用程序轉變為通過 Windows 更新自動提供服務的本機“可選功能”。
從實用程序到核心組件
十多年來,Sysmon 一直充當 Windows 安全日誌記錄的關鍵填補者。它捕獲標準事件日誌遺漏的詳細信息,例如進程創建層次結構、網絡連接哈希和原始磁盤訪問。
到目前為止,部署它需要管理員手動將 4.6MB sysmon.exe 二進製文件及其驅動程序推送到每個端點,通常通過自定義 PowerShell 腳本或第三方管理工具來管理流程。
從明年開始,這種運營開銷就會消失。 Russinovich 宣布“Windows 11 和 Windows Server 2025 的 Windows 更新將為 Windows 帶來原生 Sysmon 功能”,這標誌著該工具的交付方式發生了根本性變化。
管理員無需從 Sysinternals 站點下載 zip 文件,而是通過“打開或關閉 Windows 功能”對話框或通過簡單的命令行指令激活 Sysmon。
在新的服務模型下,更新直接通過標準 Windows更新管道。這可確保安全團隊保持最新版本,無需手動打包和重新部署二進製文件。
它還將 Sysmon 從“使用風險自負”實用程序提升為完全受支持的 Windows 組件,並由官方 Microsoft 客戶服務和服務級別協議 (SLA) 支持。
邊緣 AI 和實時防禦
本機集成為更複雜的硬件加速防禦機制打開了大門。微軟計劃利用現代端點的本地計算功能,例如 Copilot+ PC 中的神經處理單元 (NPU),直接在設備上運行人工智能推理。
通過在邊緣處理遙測而不是等待基於雲的分析,系統可以大大縮短“停留時間”,即初始違規和檢測之間的關鍵窗口。
這種本地人工智能功能的具體目標包括識別憑證盜竊技術,例如例如從本地安全機構子系統服務 (LSASS) 進行內存轉儲,並發現靜態規則經常遺漏的橫向移動模式。
這種方法符合 Microsoft 的“安全未來計劃”,該計劃優先通過使用本地信號動態通知檢測邏輯來強化操作系統以抵禦持續威脅。
保護生態系統
儘管架構已遷移到 Windows,但 Microsoft 仍致力於保持與現有工作流程的完全向後兼容性。安全運營中心 (SOC) 花了數年時間調整 XML 配置文件,以過濾掉噪音並專注於高保真信號。
Russinovich 向用戶保證,Sysmon 功能將允許“使用自定義配置文件來過濾捕獲的事件。這些事件將寫入 Windows 事件日誌”,這意味著當前的檢測管道不需要重構。
本機服務將繼續尊重 XML 架構(當前版本 4.90)並將事件寫入標準“Microsoft-Windows-Sysmon/Operational”日誌。
社區驅動的配置存儲庫(例如 SwiftOnSecurity 和 Olaf Hartong 維護的廣泛使用的模板)將保持功能。
管理員可以繼續使用“sysmon-i”等熟悉的命令應用這些配置,確保過渡在升級底層交付機制的同時保留已建立的社區知識的價值。
