Menghilangkan hambatan penerapan manual selama bertahun-tahun untuk tim keamanan, Microsoft akan mengintegrasikan alat forensik canggihnya, System Monitor (Sysmon), langsung ke kernel Windows.
CTO Azure Mark Russinovich mengonfirmasi peralihan untuk Windows 11 dan Server 2025, mengubah utilitas mandiri menjadi “Fitur Opsional”asli yang dilayani secara otomatis melalui Pembaruan Windows.
Dari Utilitas ke Komponen Inti
Selama lebih dari satu dekade, Sysmon telah berperan sebagai pengisi celah penting untuk pencatatan keamanan Windows. Ini menangkap detail terperinci yang tidak dimiliki Log Peristiwa standar, seperti hierarki pembuatan proses, hash koneksi jaringan, dan akses disk mentah.
Sampai saat ini, penerapannya memerlukan administrator untuk secara manual memasukkan biner sysmon.exe 4,6MB dan drivernya ke setiap titik akhir, a Prosesnya sering kali dikelola melalui skrip PowerShell khusus atau alat manajemen pihak ketiga.
Mulai tahun depan, biaya operasional tersebut akan hilang. Russinovich mengumumkan bahwa “Pembaruan Windows untuk Windows 11 dan Windows Server 2025 akan menghadirkan fungsionalitas Sysmon secara asli ke Windows,”menandai perubahan mendasar dalam cara alat ini dikirimkan.
Daripada mengunduh file zip dari situs Sysinternals, administrator akan mengaktifkan Sysmon melalui dialog “Mengaktifkan atau menonaktifkan fitur Windows”atau melalui instruksi baris perintah sederhana.
Dalam model layanan baru, pembaruan mengalir langsung melalui jalur Pembaruan Windows standar. Hal ini memastikan tim keamanan tetap menggunakan versi terbaru tanpa perlu mengemas dan menerapkan ulang binari secara manual.
Hal ini juga meningkatkan Sysmon dari utilitas “penggunaan dengan risiko Anda sendiri”menjadi komponen Windows yang didukung penuh, didukung oleh layanan pelanggan resmi Microsoft dan Perjanjian Tingkat Layanan (SLA).
Edge AI dan Pertahanan Real-Time
Integrasi asli membuka pintu ke mekanisme pertahanan yang lebih canggih dan dipercepat perangkat keras. Microsoft berencana untuk memanfaatkan kemampuan komputasi lokal dari endpoint modern, seperti Neural Processing Unit (NPU) yang ditemukan di PC Copilot+, untuk menjalankan inferensi AI langsung di perangkat.
Dengan memproses telemetri di edge daripada menunggu analisis berbasis cloud, sistem dapat secara drastis mengurangi “dwell time”, rentang waktu kritis antara pelanggaran awal dan pendeteksiannya.
Target spesifik untuk kemampuan AI lokal ini mencakup mengidentifikasi teknik pencurian kredensial, seperti seperti pembuangan memori dari Layanan Subsistem Otoritas Keamanan Lokal (LSASS), dan menemukan pola pergerakan lateral yang sering diabaikan oleh aturan statis.
Pendekatan ini sejalan dengan “Secure Future Initiative” dari Microsoft, yang memprioritaskan penguatan OS terhadap ancaman terus-menerus dengan menggunakan sinyal lokal untuk menginformasikan logika deteksi secara dinamis.
Melestarikan Ekosistem
Meskipun ada migrasi arsitektur ke Windows, Microsoft telah berkomitmen untuk mempertahankan kompatibilitas penuh dengan yang ada alur kerja. Pusat operasi keamanan (SOC) telah menghabiskan waktu bertahun-tahun untuk menyempurnakan file konfigurasi XML untuk menyaring kebisingan dan fokus pada sinyal fidelitas tinggi.
Russinovich meyakinkan pengguna bahwa fungsionalitas Sysmon akan memungkinkan”menggunakan file konfigurasi khusus untuk memfilter peristiwa yang ditangkap. Peristiwa ini ditulis ke log peristiwa Windows”, yang berarti bahwa saluran deteksi saat ini tidak memerlukan pemfaktoran ulang.
Layanan asli akan terus menghormati skema XML (saat ini versi 4.90) dan menulis peristiwa ke standar Log `Microsoft-Windows-Sysmon/Operational`.
Repositori konfigurasi berbasis komunitas, seperti templat yang banyak digunakan yang dikelola oleh SwiftOnSecurity dan Olaf Hartong, akan tetap berfungsi.
Administrator dapat terus menerapkan konfigurasi ini menggunakan perintah yang sudah dikenal seperti `sysmon-i`, memastikan bahwa transisi mempertahankan nilai pengetahuan komunitas yang sudah ada sambil meningkatkan mekanisme pengiriman yang mendasarinya.
