Loại bỏ những trở ngại trong nhiều năm triển khai thủ công cho các nhóm bảo mật, Microsoft sẽ tích hợp công cụ điều tra tiên tiến, System Monitor (Sysmon), trực tiếp vào nhân Windows.
CTO của Azure Mark Russinovich đã xác nhận sự thay đổi đối với Windows 11 và Server 2025, biến tiện ích độc lập thành một “Tính năng tùy chọn”gốc được phục vụ tự động thông qua Windows Update.
Từ Tiện ích đến Thành phần cốt lõi
Trong hơn một thập kỷ, Sysmon đã đóng vai trò như một công cụ lấp chỗ trống quan trọng cho việc ghi nhật ký bảo mật Windows. Nó ghi lại những chi tiết chi tiết mà Nhật ký sự kiện tiêu chuẩn bỏ sót, chẳng hạn như hệ thống phân cấp tạo quy trình, hàm băm kết nối mạng và quyền truy cập đĩa thô.
Cho đến nay, việc triển khai nó yêu cầu quản trị viên phải đẩy tệp nhị phân sysmon.exe 4,6 MB và trình điều khiển của nó đến mọi điểm cuối theo cách thủ công, một quá trình thường diễn ra được quản lý thông qua tập lệnh PowerShell tùy chỉnh hoặc công cụ quản lý của bên thứ ba.
Bắt đầu từ năm sau, chi phí hoạt động đó sẽ biến mất. Russinovich đã thông báo rằng “Các bản cập nhật Windows cho Windows 11 và Windows Server 2025 sẽ mang chức năng Sysmon nguyên bản vào Windows”, đánh dấu một thay đổi cơ bản về cách cung cấp công cụ này.
Thay vì tải xuống tệp zip từ trang Sysiternals, quản trị viên sẽ kích hoạt Sysmon thông qua hộp thoại”Bật hoặc tắt các tính năng của Windows”hoặc thông qua các hướng dẫn dòng lệnh đơn giản.
Theo mô hình dịch vụ mới, các bản cập nhật sẽ truyền trực tiếp qua quy trình Windows Update tiêu chuẩn. Điều này đảm bảo các nhóm bảo mật vẫn sử dụng phiên bản mới nhất mà không cần phải đóng gói và triển khai lại các tệp nhị phân theo cách thủ công.
Nó cũng nâng Sysmon từ một tiện ích”tự chịu rủi ro khi sử dụng”thành một thành phần Windows được hỗ trợ đầy đủ, được hỗ trợ bởi dịch vụ khách hàng chính thức của Microsoft và Thỏa thuận cấp độ dịch vụ (SLA).
Edge AI và Phòng thủ theo thời gian thực
Sự tích hợp tự nhiên mở ra cánh cửa cho các cơ chế bảo vệ được tăng tốc phần cứng, phức tạp hơn. Microsoft có kế hoạch tận dụng khả năng tính toán cục bộ của các điểm cuối hiện đại, chẳng hạn như Bộ xử lý thần kinh (NPU) có trong PC Copilot+, để chạy suy luận AI trực tiếp trên thiết bị.
Bằng cách xử lý dữ liệu đo từ xa ở rìa thay vì chờ phân tích dựa trên đám mây, hệ thống có thể giảm đáng kể “thời gian dừng”, khoảng thời gian quan trọng giữa vi phạm ban đầu và phát hiện vi phạm.
Các mục tiêu cụ thể cho khả năng AI cục bộ này bao gồm xác định các kỹ thuật đánh cắp thông tin xác thực, chẳng hạn như bộ nhớ bán phá giá khỏi Dịch vụ hệ thống con của Cơ quan an ninh địa phương (LSASS) và phát hiện các mô hình chuyển động bên mà các quy tắc tĩnh thường bỏ qua.
Phương pháp này phù hợp với “Sáng kiến an toàn trong tương lai” của Microsoft, trong đó ưu tiên tăng cường hệ điều hành chống lại các mối đe dọa dai dẳng bằng cách sử dụng các tín hiệu cục bộ để thông báo logic phát hiện một cách linh hoạt.
Bảo tồn hệ sinh thái
Bất chấp việc di chuyển kiến trúc sang Windows, Microsoft đã cam kết duy trì khả năng tương thích ngược hoàn toàn với quy trình công việc hiện có. Các trung tâm điều hành bảo mật (SOC) đã dành nhiều năm điều chỉnh các tệp cấu hình XML để lọc nhiễu và tập trung vào các tín hiệu có độ trung thực cao.
Russinovich đảm bảo với người dùng rằng chức năng Sysmon sẽ cho phép”sử dụng các tệp cấu hình tùy chỉnh để lọc các sự kiện đã ghi lại. Các sự kiện này được ghi vào nhật ký sự kiện Windows”, nghĩa là các quy trình phát hiện hiện tại sẽ không yêu cầu tái cấu trúc.
Dịch vụ gốc sẽ tiếp tục tôn trọng lược đồ XML (phiên bản hiện tại là 4.90) và ghi các sự kiện theo tiêu chuẩn `Nhật ký Microsoft-Windows-Sysmon/Operational`.
Các kho lưu trữ cấu hình hướng đến cộng đồng, chẳng hạn như các mẫu được sử dụng rộng rãi do SwiftOnSecurity và Olaf Hartong duy trì, sẽ vẫn hoạt động.
Quản trị viên có thể tiếp tục áp dụng các cấu hình này bằng cách sử dụng các lệnh quen thuộc như `sysmon-i`, đảm bảo rằng quá trình chuyển đổi sẽ duy trì giá trị kiến thức đã được thiết lập của cộng đồng trong khi nâng cấp cơ chế phân phối cơ bản.
