Introducción a Sysmon

Monitor de sistema integrado (Sysmon) es una característica opcional de Windows en Windows 11 y Windows Server 2025 que, cuando se habilita, permanece residente en los reinicios del sistema para supervisar y registrar la actividad del sistema en el registro de eventos de Windows. Proporciona información detallada sobre la creación de procesos, la conexión de red y los eventos de cambio de tiempo de creación de archivos. Al recopilar sus eventos a través de la colección de eventos de Windows o un agente SIEM , puede comprender mejor lo que está haciendo el sistema. Estos eventos le ayudan a detectar comportamientos malintencionados o inusuales y revelan cómo los intrusos o malware se mueven y operan dentro de su entorno. 

Sysmon no analiza los eventos que genera ni intenta ocultar su presencia a los atacantes. 

Funcionalidades de Sysmon

Sysmon incluye las siguientes funcionalidades:

• Registra la creación de procesos con línea de comandos completa para los procesos actuales y primarios. 

• Registra el hash de los archivos de imagen de proceso mediante SHA1 (valor predeterminado), MD5, SHA256 o IMPHASH. 

• Se pueden usar varios hashes al mismo tiempo. 

• Incluye un GUID de proceso en los eventos de creación de procesos para permitir la correlación de eventos incluso cuando Windows reutiliza los identificadores de proceso. 

• Incluye un GUID de sesión en cada evento para permitir la correlación de eventos en la misma sesión de inicio de sesión. 

• Registra la carga de controladores o archivos DLL con sus firmas y hashes. 

• Registros cuando se abren discos o volúmenes con acceso de lectura sin formato. 

• Opcionalmente, registra las conexiones de red, incluidos el proceso de origen de cada conexión, las direcciones IP, los números de puerto, los nombres de host y los nombres de puerto. 

• Detecta los cambios en el tiempo de creación de archivos para comprender cuándo se creó realmente un archivo. La modificación de marcas de tiempo de creación de archivos es una técnica que suele usar el malware para cubrir sus pistas. 

• Vuelva a cargar automáticamente la configuración si se cambia en el Registro. 

• Filtrado de reglas para incluir o excluir determinados eventos dinámicamente. 

• Genera eventos desde el principio del proceso de arranque para capturar la actividad realizada por malware en modo kernel incluso sofisticado. 

Estas funcionalidades proporcionan a los equipos de seguridad un mejor contexto que los registros de auditoría predeterminados por sí solos y mejoran la detección de comportamientos sospechosos, como la ejecución fuera de la tierra, el movimiento lateral y la actividad malintencionada. 

Uso

Algunos ejemplos de uso comunes con opciones sencillas de línea de comandos para instalar y desinstalar Sysmon, así como para comprobar y modificar su configuración:

Instale:

sysmon -i [<configfile>] 

Actualizar configuración:

sysmon -c [<configfile>]

Instalar manifiesto de evento:

sysmon -m

Esquema de impresión:

sysmon -s

Desinstale:

sysmon -u [force] 

Capturas de pantalla

En la captura de pantalla siguiente se muestra la telemetría típica de Sysmon en la Visor de eventos integrada de Windows:

En la captura de pantalla siguiente se muestran las salidas de Sysmon al confirmar la configuración de telemetría:

En la captura de pantalla siguiente se muestra cómo Sysmon almacena activamente eventos de telemetría:

Eventos localizados

Los eventos sysmon integrados escritos en el registro de eventos de Windows se localizan, lo que proporciona una experiencia coherente con otros eventos del sistema de Windows y se alinea con el idioma configurado en el dispositivo. Aunque el mensaje de evento representado (el texto para mostrar que se muestra en herramientas como Visor de eventos) está localizado, los datos de eventos XML subyacentes no se localizan y siguen siendo coherentes en todos los idiomas. Esta representación XML se puede usar para la recopilación, agregación y análisis de eventos confiables en todos los entornos.

Este comportamiento difiere de Sysmon independiente y es importante tener en cuenta al integrar Sysmon integrado con canalizaciones de recopilación de registros, soluciones SIEM o lógica de procesamiento de eventos personalizada.

Nota

Si actualmente recopila o procesa eventos sysmon mediante representaciones no XML (como texto de mensaje representado), es posible que tenga que actualizar los scripts de procesamiento de eventos para tener en cuenta la localización en sistemas que no son de inglés.

Mantenimiento y actualizaciones

Las mejoras y las mejoras no relacionadas con la seguridad de Sysmon integradas se entregan a través del proceso de actualización de calidad estándar de Windows, con los cambios disponibles primero en las actualizaciones opcionales de la versión preliminar de Windows y, a continuación, se implementan ampliamente en la siguiente actualización de Windows programada periódicamente. Para obtener más información, consulta Introducción a las actualizaciones de calidad de Windows.

Durante estas actualizaciones de características:

• Los archivos binarios de Sysmon integrados se actualizan independientemente de si Sysmon está habilitado o no actualmente. 

• Si sysmon integrado está habilitado, la transición a los archivos binarios actualizados es perfecta, se conserva la configuración existente y no se requiere ningún reinicio del sistema. 

• Si sysmon integrado no está habilitado, la actualización reemplaza los archivos binarios, pero Sysmon permanece deshabilitado.

Las actualizaciones de características de Sysmon integradas no afectan a las instalaciones independientes de Sysmon en el dispositivo. No se admite la coexistencia entre Sysmon integrado y Sysmon independiente. 

Pruebas y validación

Las organizaciones deben seguir las prácticas estándar de pruebas de actualizaciones de Windows al adoptar nuevas características integradas de Sysmon:

• Evalúe las actualizaciones de versión preliminar opcionales en entornos de prueba o piloto. 

• Revise el comportamiento y la salida de eventos de Sysmon después de las actualizaciones. 

• Ajuste la configuración de Sysmon según sea necesario antes de una implementación amplia. 

Este enfoque permite a los equipos validar los cambios mientras mantienen la alineación con sus procesos de administración de actualizaciones de Windows existentes.

Actualizaciones de calidad

Si se identifica un problema de seguridad crítico que afecta a Sysmon integrado, la corrección se entrega como parte de la versión de actualización de seguridad mensual (versión Update Tuesday/B).

Las actualizaciones de seguridad se implementan de forma general y no requieren actualizaciones de versión preliminar de participación.

Novedades aplicar independientemente de si sysmon integrado está habilitado, lo que garantiza que los componentes de Sysmon permanezcan protegidos.

Coexistencia con Sysmon & otros productos de seguridad

Sysmon integrado está diseñado para funcionar como una funcionalidad nativa de Windows y no admite la coexistencia con Sysmon independiente.

• Sysmon independiente y Sysmon integrado no se pueden habilitar en el mismo dispositivo al mismo tiempo.

• Sysmon independiente debe desinstalarse antes de habilitar Sysmon integrado.

• Las actualizaciones de Windows que entregan o actualizan sysmon integrado no afectan a las instalaciones independientes de Sysmon. Si sysmon independiente está instalado, permanece sin cambios y Sysmon integrado permanece deshabilitado.

Sysmon es compatible con otros productos de seguridad como:

• Reenvío de eventos de Windows y Colección de eventos de Windows, que agregan registros sysmon de forma centralizada para su análisis.

• Microsoft Defender para punto de conexión y otras plataformas EDR que consumen eventos Sysmon para mejorar la lógica de detección.

• Soluciones SIEM para correlacionar la telemetría de Sysmon con otros orígenes de registro.

Las funcionalidades de filtrado y configuración de Sysmon permiten a los administradores adaptar la captura de eventos para que los volúmenes de datos sigan siendo manejables, minimizando la superposición con otros agentes y maximizando la calidad de la señal. No entra en conflicto con antivirus u otras herramientas de supervisión, ya que proporciona telemetría sin procesar en lugar de prevención activa.