Éliminant des années de frictions en matière de déploiement manuel pour les équipes de sécurité, Microsoft intégrera son outil d’investigation avancé, System Monitor (Sysmon), directement dans le noyau Windows.
Le CTO d’Azure, Mark Russinovich, a confirmé le changement pour Windows 11 et Server 2025, transformant l’utilitaire autonome en une « fonctionnalité facultative » native gérée automatiquement via Windows Update.
De l’utilitaire au composant principal
Pour pendant une décennie, Sysmon a rempli une fonction essentielle pour combler les lacunes de la journalisation de sécurité Windows. Il capture des détails granulaires qui manquent aux journaux d’événements standard, tels que les hiérarchies de création de processus, les hachages de connexion réseau et l’accès au disque brut.
Jusqu’à présent, son déploiement nécessitait que les administrateurs envoient manuellement le binaire sysmon.exe de 4,6 Mo et son pilote vers chaque point de terminaison, un processus souvent géré via des scripts PowerShell personnalisés ou des outils de gestion tiers.
À partir de l’année prochaine, cette surcharge opérationnelle disparaît. Russinovich a annoncé que « les mises à jour Windows pour Windows 11 et Windows Server 2025 apporteront la fonctionnalité Sysmon de manière native à Windows », marquant un changement fondamental dans la façon dont l’outil est fourni.
Au lieu de télécharger un fichier zip depuis le site Sysinternals, les administrateurs activeront Sysmon via la boîte de dialogue « Activer ou désactiver les fonctionnalités Windows » ou via de simples instructions de ligne de commande.
Dans le cadre du nouveau modèle de service, les mises à jour transitent directement via Windows standard. Mettre à jour le pipeline. Cela garantit que les équipes de sécurité restent sur la dernière version sans avoir à empaqueter et redéployer les binaires manuellement.
Cela élève également Sysmon d’un utilitaire « à utiliser à vos propres risques » à un composant Windows entièrement pris en charge, soutenu par le service client officiel de Microsoft et les accords de niveau de service (SLA).
Edge AI et défense en temps réel
L’intégration native ouvre la porte à des mécanismes de défense plus sophistiqués et accélérés par le matériel. Microsoft prévoit d’exploiter les capacités de calcul locales des points de terminaison modernes, telles que les unités de traitement neuronal (NPU) présentes dans les PC Copilot+, pour exécuter l’inférence d’IA directement sur l’appareil.
En traitant la télémétrie en périphérie plutôt que d’attendre une analyse basée sur le cloud, le système peut réduire considérablement le « temps d’attente », la fenêtre critique entre une violation initiale et sa détection.
Les cibles spécifiques de cette capacité d’IA locale incluent l’identification des techniques de vol d’identifiants, tels que le vidage de la mémoire du service LSASS (Local Security Authority Subsystem Service) et la détection des modèles de mouvement latéral que les règles statiques oublient souvent.
Cette approche s’aligne sur la « Secure Future Initiative » de Microsoft, qui donne la priorité au renforcement du système d’exploitation contre les menaces persistantes en utilisant des signaux locaux pour informer la logique de détection de manière dynamique.
Préserver l’écosystème
Malgré la migration architecturale vers Windows, Microsoft s’est engagé à maintenir une compatibilité ascendante totale avec les systèmes existants. flux de travail. Les centres d’opérations de sécurité (SOC) ont passé des années à régler les fichiers de configuration XML pour filtrer le bruit et se concentrer sur les signaux haute fidélité.
Russinovich a assuré aux utilisateurs que la fonctionnalité Sysmon permettra”d’utiliser des fichiers de configuration personnalisés pour filtrer les événements capturés. Ces événements sont écrits dans le journal des événements Windows”, ce qui signifie que les pipelines de détection actuels ne nécessiteront pas de refactorisation.
Le service natif continuera à respecter le schéma XML (actuellement version 4.90) et à écrire les événements dans le journal standard `Microsoft-Windows-Sysmon/Operational`.
Les référentiels de configuration pilotés par la communauté, tels que les modèles largement utilisés maintenus par SwiftOnSecurity et Olaf Hartong, resteront fonctionnels.
Les administrateurs peuvent continuer à appliquer ces configurations à l’aide de commandes familières telles que `sysmon-i`, garantissant que la transition préserve la valeur des connaissances établies de la communauté tout en mettant à niveau le mécanisme de livraison sous-jacent.
