Om een einde te maken aan jaren van handmatige implementatieproblemen voor beveiligingsteams, zal Microsoft zijn geavanceerde forensische tool, System Monitor (Sysmon), rechtstreeks in de Windows-kernel integreren.
Azure CTO Mark Russinovich bevestigde de verschuiving voor Windows 11 en Server 2025, waarbij het zelfstandige hulpprogramma wordt getransformeerd in een native”Optionele functie”die automatisch wordt onderhouden via Windows Update.
Van hulpprogramma naar kerncomponent
Al meer dan tien jaar fungeert Sysmon als een cruciale opvuller voor Windows-beveiligingsregistratie. Het legt gedetailleerde details vast die standaard gebeurtenislogboeken missen, zoals hiërarchieën voor het maken van processen, netwerkverbindingshashes en onbewerkte schijftoegang.
Tot nu toe vereiste de implementatie ervan dat beheerders het 4,6 MB binaire bestand sysmon.exe en de bijbehorende driver handmatig naar elke endpoint, een proces dat vaak wordt beheerd via aangepaste PowerShell-scripts of beheertools van derden.
Vanaf volgend jaar verdwijnt die operationele overhead. Russinovich kondigde aan dat “Windows-updates voor Windows 11 en Windows Server 2025 de Sysmon-functionaliteit native naar Windows zullen brengen”, wat een fundamentele verandering betekent in de manier waarop de tool wordt geleverd.
In plaats van een zip-bestand van de Sysinternals-site te downloaden, zullen beheerders Sysmon activeren via het dialoogvenster “Windows-functies in-of uitschakelen” of via eenvoudige opdrachtregelinstructies.
Onder het nieuwe servicemodel stromen updates rechtstreeks via de standaard Windows Update pijpleiding. Dit zorgt ervoor dat beveiligingsteams op de nieuwste versie blijven werken zonder binaire bestanden handmatig te hoeven verpakken en opnieuw te implementeren.
Het verheft Sysmon ook van een hulpprogramma voor’gebruik op eigen risico’naar een volledig ondersteunde Windows-component, ondersteund door de officiële Microsoft-klantenservice en Service Level Agreements (SLA’s).
Edge AI en Real-Time Defense
Native integratie opent de deur naar meer geavanceerde, hardwareversnelde verdediging mechanismen. Microsoft is van plan gebruik te maken van de lokale rekenmogelijkheden van moderne eindpunten, zoals de Neural Processing Units (NPU’s) die te vinden zijn in Copilot+ pc’s, om AI-inferenties rechtstreeks op het apparaat uit te voeren.
Door telemetrie aan de rand te verwerken in plaats van te wachten op cloudgebaseerde analyse, kan het systeem de’dwell time’, de kritische periode tussen een initiële inbreuk en de detectie ervan, drastisch verkorten.
Specifieke doelen voor deze lokale AI-mogelijkheid zijn onder meer het identificeren van technieken voor diefstal van inloggegevens, zoals geheugendump van de Local Security Authority Subsystem Service (LSASS) en het opsporen van laterale bewegingspatronen die statische regels vaak over het hoofd zien.
Deze aanpak sluit aan bij het’Secure Future Initiative’van Microsoft, dat prioriteit geeft aan het beschermen van het besturingssysteem tegen aanhoudende bedreigingen door lokale signalen te gebruiken om de detectielogica dynamisch te informeren.
Het ecosysteem behouden
Ondanks de architecturale migratie naar Windows heeft Microsoft zich ertoe verbonden om volledig achteruit te gaan compatibiliteit met bestaande workflows. Security Operations Centers (SOC’s) zijn jarenlang bezig geweest met het afstemmen van XML-configuratiebestanden om ruis eruit te filteren en zich te concentreren op high-fidelity-signalen.
Russinovich verzekerde gebruikers dat de Sysmon-functionaliteit het mogelijk zal maken”aangepaste configuratiebestanden te gebruiken om vastgelegde gebeurtenissen te filteren. Deze gebeurtenissen worden naar het Windows-gebeurtenislogboek geschreven”, wat betekent dat de huidige detectiepijplijnen geen refactoring behoeven.
De native service zal het XML-schema (momenteel versie 4.90) blijven respecteren en gebeurtenissen volgens de standaard schrijven. `Microsoft-Windows-Sysmon/Operational` log.
Door de gemeenschap aangestuurde configuratieopslagplaatsen, zoals de veelgebruikte sjablonen die worden onderhouden door SwiftOnSecurity en Olaf Hartong, blijven functioneel.
Beheerders kunnen deze configuraties blijven toepassen met behulp van bekende opdrachten als `sysmon-i`, waardoor de overgang de waarde van gevestigde gemeenschapskennis behoudt terwijl het onderliggende leveringsmechanisme wordt geüpgraded.
