セキュリティ チームの長年にわたる手作業による導入の煩雑さを解消するために、Microsoft は高度なフォレンジック ツールである System Monitor (Sysmon) を Windows カーネルに直接統合します。
Azure CTO Mark Russinovich は、Windows 11 および Server 2025 への移行を認め、スタンドアロン ユーティリティを Windows Update 経由で自動的にサービスされるネイティブの「オプション機能」に変換します。
ユーティリティからコアへコンポーネント
10 年以上にわたり、Sysmon は Windows セキュリティ ログの重要なギャップを埋める役割を果たしてきました。プロセス作成階層、ネットワーク接続ハッシュ、未加工ディスク アクセスなど、標準のイベント ログでは見逃す詳細をキャプチャします。
これまで、これを展開するには、管理者が 4.6 MB sysmon.exe バイナリとそのバイナリを手動でプッシュする必要がありました。
来年からは、その運用上のオーバーヘッドがなくなります。 Russinovich 氏は、「Windows 11 および Windows Server 2025 の Windows アップデートにより、Sysmon 機能が Windows にネイティブに導入される」と発表し、ツールの提供方法に根本的な変更が加えられました。
Sysinternals サイトから zip ファイルをダウンロードする代わりに、管理者は「Windows の機能をオンまたはオフにする」ダイアログまたは簡単なコマンドライン手順を通じて Sysmon をアクティブ化します。
新しいサービス モデルでは、アップデートがフローで行われます。標準の Windows Update パイプラインを通じて直接。これにより、セキュリティ チームはバイナリを手動でパッケージ化して再デプロイする必要がなく、最新バージョンを維持できるようになります。
また、Sysmon を「自己責任で使用する」ユーティリティから、正式な Microsoft カスタマー サービスとサービス レベル アグリーメント (SLA) に裏付けられた完全にサポートされた Windows コンポーネントに昇格します。
エッジ AI とリアルタイム ディフェンス
ネイティブ統合により、より洗練されたハードウェア アクセラレーションへの扉が開かれます。防御メカニズム。 Microsoft は、Copilot+ PC に搭載されているニューラル プロセッシング ユニット (NPU) などの最新のエンドポイントのローカル コンピューティング機能を活用して、AI 推論をデバイス上で直接実行することを計画しています。
クラウドベースの分析を待つのではなく、エッジでテレメトリを処理することで、システムは最初の侵害から検出までの重要な時間枠である「滞留時間」を大幅に短縮できます。
このローカル AI 機能の具体的なターゲットには、次のようなものがあります。ローカル セキュリティ機関サブシステム サービス (LSASS) からのメモリ ダンプや、静的ルールでは見逃されがちな横方向の移動パターンの特定など、認証情報の盗難手法を利用します。
このアプローチは、ローカル シグナルを使用して検出ロジックを動的に通知することで持続的な脅威に対する OS の強化を優先する Microsoft の「Secure Future Initiative」と一致しています。
エコシステムの維持
Windows へのアーキテクチャの移行において、Microsoft は既存のワークフローとの完全な下位互換性を維持することに取り組んでいます。セキュリティ オペレーション センター (SOC) は、ノイズを除去し、忠実度の高い信号に焦点を当てるために、XML 構成ファイルの調整に何年も費やしてきました。
Russinovich 氏は、Sysmon の機能により、「カスタム構成ファイルを使用してキャプチャされたイベントをフィルタリングできます。これらのイベントは Windows イベント ログに書き込まれる」とユーザーに保証しました。これは、現在の検出パイプラインがリファクタリングを必要としないことを意味します。
ネイティブ サービスは、引き続き XML スキーマ (現在バージョン 4.90) を尊重します。
SwiftOnSecurity や Olaf Hartong によって管理され、広く使用されているテンプレートなどのコミュニティ主導の構成リポジトリは引き続き機能します。
管理者は、「sysmon-i」などの使い慣れたコマンドを使用してこれらの構成を引き続き適用でき、基盤となる配信をアップグレードしながら移行によって確立されたコミュニティの知識の価値が確実に維持されます。メカニズム。
