เพื่อขจัดอุปสรรคในการใช้งานด้วยตนเองเป็นเวลาหลายปีสำหรับทีมรักษาความปลอดภัย Microsoft จะรวมเครื่องมือนิติวิทยาศาสตร์ขั้นสูง System Monitor (Sysmon) เข้ากับเคอร์เนลของ Windows โดยตรง
Azure CTO Mark Russinovich ยืนยันการเปลี่ยนแปลงสำหรับ Windows 11 และ Server 2025 โดยเปลี่ยนยูทิลิตี้แบบสแตนด์อโลนให้เป็น”ฟีเจอร์เสริม”ดั้งเดิมที่ให้บริการโดยอัตโนมัติผ่าน Windows Update
จากยูทิลิตี้เป็นส่วนประกอบหลัก
มานานกว่า เป็นเวลาหนึ่งทศวรรษที่ Sysmon ทำหน้าที่เป็นตัวเติมช่องว่างที่สำคัญสำหรับการบันทึกความปลอดภัยของ Windows โดยจะบันทึกรายละเอียดเล็กๆ น้อยๆ ที่บันทึกเหตุการณ์มาตรฐานพลาดไป เช่น ลำดับชั้นการสร้างกระบวนการ แฮชการเชื่อมต่อเครือข่าย และการเข้าถึงดิสก์ดิบ
จนถึงขณะนี้ การปรับใช้ดังกล่าวจำเป็นต้องให้ผู้ดูแลระบบพุชไบนารี sysmon.exe ขนาด 4.6MB และไดรเวอร์ด้วยตนเอง ทุกจุดสิ้นสุด ซึ่งเป็นกระบวนการที่มักได้รับการจัดการผ่านสคริปต์ PowerShell แบบกำหนดเองหรือเครื่องมือการจัดการของบุคคลที่สาม
ตั้งแต่ปีหน้า ค่าใช้จ่ายในการดำเนินงานนั้นจะหายไป Russinovich ประกาศว่า “การอัปเดต Windows สำหรับ Windows 11 และ Windows Server 2025 จะนำฟังก์ชันการทำงานของ Sysmon มาสู่ Windows โดยเฉพาะ” ซึ่งถือเป็นการเปลี่ยนแปลงพื้นฐานในวิธีการส่งมอบเครื่องมือ
แทนที่จะดาวน์โหลดไฟล์ zip จากไซต์ Sysinternals ผู้ดูแลระบบจะเปิดใช้งาน Sysmon ผ่านกล่องโต้ตอบ “เปิดหรือปิดคุณสมบัติ Windows” หรือผ่านคำแนะนำบรรทัดคำสั่งง่ายๆ
ภายใต้รูปแบบการบริการใหม่ การอัปเดตจะไหลโดยตรงผ่าน ไปป์ไลน์ Windows Update มาตรฐาน ซึ่งช่วยให้มั่นใจว่าทีมรักษาความปลอดภัยยังคงอยู่ในเวอร์ชันล่าสุดโดยไม่จำเป็นต้องจัดแพ็คเกจและปรับใช้ไบนารีอีกครั้งด้วยตนเอง
นอกจากนี้ยังยกระดับ Sysmon จากยูทิลิตี้”ใช้โดยยอมรับความเสี่ยงเอง”ให้เป็นส่วนประกอบ Windows ที่ได้รับการสนับสนุนอย่างเต็มที่ ซึ่งสนับสนุนโดยบริการลูกค้าอย่างเป็นทางการของ Microsoft และข้อตกลงระดับการให้บริการ (SLA)
Edge AI และการป้องกันแบบเรียลไทม์
การบูรณาการแบบเนทีฟเปิดประตูสู่การป้องกันที่เร่งด้วยฮาร์ดแวร์ที่ซับซ้อนยิ่งขึ้น กลไก Microsoft วางแผนที่จะใช้ประโยชน์จากความสามารถในการคำนวณภายในเครื่องของอุปกรณ์ปลายทางสมัยใหม่ เช่น หน่วยประมวลผลประสาท (NPU) ที่พบในพีซี Copilot+ เพื่อเรียกใช้การอนุมาน AI บนอุปกรณ์โดยตรง
ด้วยการประมวลผลการวัดและส่งข้อมูลทางไกลที่ Edge แทนที่จะรอการวิเคราะห์บนคลาวด์ ระบบสามารถลด”เวลาพัก”ได้อย่างมาก ซึ่งเป็นหน้าต่างที่สำคัญระหว่างการละเมิดครั้งแรกและการตรวจจับ
เป้าหมายเฉพาะสำหรับความสามารถ AI ในพื้นที่นี้ ได้แก่ การระบุ เทคนิคการขโมยข้อมูลรับรอง เช่น การดัมพ์หน่วยความจำจาก Local Security Authority Subsystem Service (LSASS) และการตรวจจับรูปแบบการเคลื่อนไหวด้านข้างที่กฎคงที่มักพลาด
แนวทางนี้สอดคล้องกับ “Secure Future Initiative” ของ Microsoft ซึ่งจัดลำดับความสำคัญในการเสริมความแข็งแกร่งของระบบปฏิบัติการต่อภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องโดยใช้สัญญาณในเครื่องเพื่อแจ้งตรรกะการตรวจจับแบบไดนามิก
การรักษาระบบนิเวศ
แม้จะมีการโยกย้ายทางสถาปัตยกรรม สำหรับ Windows นั้น Microsoft มุ่งมั่นที่จะรักษาความเข้ากันได้แบบย้อนหลังอย่างสมบูรณ์กับเวิร์กโฟลว์ที่มีอยู่ ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ใช้เวลาหลายปีในการปรับแต่งไฟล์การกำหนดค่า XML เพื่อกรองสัญญาณรบกวนและมุ่งเน้นไปที่สัญญาณที่มีความเที่ยงตรงสูง
Russinovich ให้ความมั่นใจกับผู้ใช้ว่าฟังก์ชันการทำงานของ Sysmon จะช่วยให้ “ใช้ไฟล์การกำหนดค่าที่กำหนดเองเพื่อกรองเหตุการณ์ที่บันทึกไว้ เหตุการณ์เหล่านี้ถูกเขียนลงในบันทึกเหตุการณ์ของ Windows” ซึ่งหมายความว่าไปป์ไลน์การตรวจจับปัจจุบันไม่จำเป็นต้องมีการปรับโครงสร้างใหม่
บริการดั้งเดิมจะยังคงเคารพ XML schema (ปัจจุบันเวอร์ชัน 4.90) และเขียนเหตุการณ์ลงใน บันทึกมาตรฐาน `Microsoft-Windows-Sysmon/Operational`
ที่เก็บการกำหนดค่าที่ขับเคลื่อนโดยชุมชน เช่น เทมเพลตที่ใช้กันอย่างแพร่หลายซึ่งดูแลโดย SwiftOnSecurity และ Olaf Hartong จะยังคงใช้งานได้
ผู้ดูแลระบบสามารถใช้การกำหนดค่าเหล่านี้ต่อไปได้โดยใช้คำสั่งที่คุ้นเคย เช่น `sysmon-i` เพื่อให้มั่นใจว่าการเปลี่ยนแปลงจะรักษาคุณค่าของความรู้ของชุมชนที่จัดตั้งขึ้นในขณะเดียวกันก็อัปเกรดกลไกการส่งมอบพื้นฐาน
