Eliminando anni di problemi legati alla distribuzione manuale per i team di sicurezza, Microsoft integrerà il suo strumento forense avanzato, System Monitor (Sysmon), direttamente nel kernel di Windows.
Il CTO di Azure Mark Russinovich ha confermato il passaggio a Windows 11 e Server 2025, trasformando l’utilità autonoma in una”funzionalità opzionale”nativa gestita automaticamente tramite Windows Update.
Da utilità a componente principale
Per oltre Per un decennio, Sysmon ha ricoperto il ruolo fondamentale di colmare le lacune per la registrazione della sicurezza di Windows. Cattura dettagli granulari che mancano ai registri eventi standard, come gerarchie di creazione dei processi, hash di connessione di rete e accesso al disco non elaborato.
Fino ad ora, la distribuzione richiedeva agli amministratori di inviare manualmente il file binario sysmon.exe da 4,6 MB e il relativo driver a ogni endpoint, un processo spesso gestito tramite script PowerShell personalizzati o strumenti di gestione di terze parti.
A partire dal prossimo anno, questo sovraccarico operativo scomparirà. Russinovich ha annunciato che”gli aggiornamenti di Windows per Windows 11 e Windows Server 2025 porteranno le funzionalità di Sysmon in modo nativo su Windows”, segnando un cambiamento fondamentale nel modo in cui lo strumento viene fornito.
Invece di scaricare un file zip dal sito Sysinternals, gli amministratori attiveranno Sysmon tramite la finestra di dialogo”Attiva o disattiva le funzionalità di Windows”o tramite semplici istruzioni da riga di comando.
Con il nuovo modello di manutenzione, gli aggiornamenti fluiscono direttamente attraverso Windows standard Aggiorna pipeline. Ciò garantisce che i team di sicurezza rimangano aggiornati alla versione più recente senza dover creare pacchetti e ridistribuire manualmente i file binari.
Eleva inoltre Sysmon da un’utilità”utilizzabile a proprio rischio”a un componente Windows completamente supportato, supportato dal servizio clienti Microsoft ufficiale e dagli accordi sui livelli di servizio (SLA).
Edge AI e Real-Time Defense
L’integrazione nativa apre le porte a meccanismi di difesa più sofisticati e accelerati tramite hardware. Microsoft prevede di sfruttare le capacità di elaborazione locale degli endpoint moderni, come le Neural Processing Unit (NPU) presenti nei PC Copilot+, per eseguire l’inferenza dell’intelligenza artificiale direttamente sul dispositivo.
Elaborando la telemetria all’edge anziché attendere l’analisi basata su cloud, il sistema può ridurre drasticamente il”tempo di permanenza”, la finestra critica tra una violazione iniziale e il suo rilevamento.
Obiettivi specifici per questa funzionalità di intelligenza artificiale locale includono l’identificazione di tecniche di furto di credenziali, come la memoria. dumping dal Local Security Authority Subsystem Service (LSASS) e individuando modelli di movimento laterale che le regole statiche spesso non riescono a cogliere.
Questo approccio è in linea con la”Secure Future Initiative”di Microsoft, che dà priorità al rafforzamento del sistema operativo contro le minacce persistenti utilizzando segnali locali per informare la logica di rilevamento in modo dinamico.
Preservare l’ecosistema
Nonostante la migrazione dell’architettura a Windows, Microsoft si è impegnata a mantenere la piena compatibilità con le versioni precedenti con flussi di lavoro esistenti. I centri operativi di sicurezza (SOC) hanno trascorso anni a ottimizzare i file di configurazione XML per filtrare il rumore e concentrarsi su segnali ad alta fedeltà.
Russinovich ha assicurato agli utenti che la funzionalità Sysmon consentirà di”utilizzare file di configurazione personalizzati per filtrare gli eventi acquisiti. Questi eventi vengono scritti nel registro eventi di Windows”, il che significa che le attuali pipeline di rilevamento non richiederanno il refactoring.
Il servizio nativo continuerà a rispettare lo schema XML (attualmente versione 4.90) e a scrivere eventi nello standard Registro”Microsoft-Windows-Sysmon/Operational”.
I repository di configurazione guidati dalla comunità, come i modelli ampiamente utilizzati gestiti da SwiftOnSecurity e Olaf Hartong, rimarranno funzionanti.
Gli amministratori possono continuare ad applicare queste configurazioni utilizzando comandi familiari come”sysmon-i”, garantendo che la transizione preservi il valore della conoscenza consolidata della comunità aggiornando al contempo il meccanismo di distribuzione sottostante.
