Para eliminar años de fricción en la implementación manual para los equipos de seguridad, Microsoft integrará su herramienta forense avanzada, System Monitor (Sysmon), directamente en el kernel de Windows.
El CTO de Azure, Mark Russinovich, confirmó el cambio para Windows 11 y Server 2025, transformando la utilidad independiente en una”función opcional”nativa que se administra automáticamente a través de Windows Update.
De la utilidad al componente principal
Durante más de una década, Sysmon ha servido como complemento fundamental para el registro de seguridad de Windows. Captura detalles granulares que los registros de eventos estándar omiten, como jerarquías de creación de procesos, hash de conexión de red y acceso sin formato al disco.
Hasta ahora, implementarlo requería que los administradores enviaran manualmente el binario sysmon.exe de 4,6 MB y su controlador a cada endpoint, un proceso que a menudo se administra a través de scripts de PowerShell personalizados o herramientas de administración de terceros.
A partir del próximo año, esa sobrecarga operativa desaparecerá. Russinovich anunció que “las actualizaciones de Windows para Windows 11 y Windows Server 2025 traerán la funcionalidad Sysmon de forma nativa a Windows”, lo que marca un cambio fundamental en la forma en que se entrega la herramienta.
En lugar de descargar un archivo zip desde el sitio de Sysinternals, los administradores activarán Sysmon a través del cuadro de diálogo “Activar o desactivar características de Windows”o mediante simples instrucciones de línea de comandos.
Bajo el nuevo modelo de servicio, las actualizaciones fluyen directamente a través de la actualización estándar de Windows. tubería. Esto garantiza que los equipos de seguridad permanezcan en la última versión sin necesidad de empaquetar y volver a implementar archivos binarios manualmente.
También eleva a Sysmon de una utilidad de”uso bajo su propio riesgo”a un componente de Windows totalmente compatible, respaldado por el servicio de atención al cliente oficial de Microsoft y los acuerdos de nivel de servicio (SLA).
IA perimetral y defensa en tiempo real
La integración nativa abre la puerta a mecanismos de defensa más sofisticados y acelerados por hardware. Microsoft planea aprovechar las capacidades informáticas locales de los terminales modernos, como las unidades de procesamiento neuronal (NPU) que se encuentran en las PC Copilot+, para ejecutar inferencias de IA directamente en el dispositivo.
Al procesar la telemetría en el borde en lugar de esperar el análisis basado en la nube, el sistema puede reducir drásticamente el”tiempo de permanencia”, la ventana crítica entre una infracción inicial y su detección.
Los objetivos específicos de esta capacidad de IA local incluyen la identificación del robo de credenciales técnicas, como el volcado de memoria del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS) y la detección de patrones de movimiento lateral que las reglas estáticas a menudo pasan por alto.
Este enfoque se alinea con la”Iniciativa Futuro Seguro”de Microsoft, que prioriza el fortalecimiento del sistema operativo contra amenazas persistentes mediante el uso de señales locales para informar la lógica de detección de forma dinámica.
Preservar el ecosistema
A pesar de la migración de la arquitectura a Windows, Microsoft se ha comprometido a mantener la compatibilidad total con versiones anteriores. con los flujos de trabajo existentes. Los centros de operaciones de seguridad (SOC) han pasado años ajustando los archivos de configuración XML para filtrar el ruido y centrarse en señales de alta fidelidad.
Russinovich aseguró a los usuarios que la funcionalidad Sysmon permitirá”usar archivos de configuración personalizados para filtrar eventos capturados. Estos eventos se escriben en el registro de eventos de Windows”, lo que significa que los canales de detección actuales no requerirán refactorización.
El servicio nativo continuará respetando el esquema XML (actualmente versión 4.90) y escribiendo eventos según el estándar Registro `Microsoft-Windows-Sysmon/Operational`.
Los repositorios de configuración impulsados por la comunidad, como las plantillas ampliamente utilizadas mantenidas por SwiftOnSecurity y Olaf Hartong, seguirán funcionando.
Los administradores pueden continuar aplicando estas configuraciones usando comandos familiares como `sysmon-i`, asegurando que la transición preserve el valor del conocimiento comunitario establecido mientras se actualiza el mecanismo de entrega subyacente.
