Vue d’ensemble de Sysmon

Le Moniteur système intégré (Sysmon) est une fonctionnalité Windows facultative sur Windows 11 et Windows Server 2025 qui, lorsqu’elle est activée, reste résidente sur les redémarrages du système pour surveiller et journaliser l’activité du système dans le journal des événements Windows. Il fournit des informations détaillées sur la création de processus, la connexion réseau et les événements de modification de l’heure de création de fichier. En collectant ses événements par le biais de la collection d’événements Windows ou d’un agent SIEM , vous pouvez mieux comprendre ce que fait le système. Ces événements vous aident à détecter les comportements malveillants ou inhabituels et à révéler comment les intrus ou les programmes malveillants se déplacent et fonctionnent dans votre environnement. 

Sysmon n’analyse pas les événements qu’il génère et ne tente pas de cacher sa présence aux attaquants. 

Fonctionnalités de Sysmon

Sysmon inclut les fonctionnalités suivantes :

  • Enregistre la création de processus avec une ligne de commande complète pour les processus actuels et parents. 

  • Enregistre le hachage des fichiers image de traitement à l’aide de SHA1 (valeur par défaut), MD5, SHA256 ou IMPHASH. 

  • Plusieurs hachages peuvent être utilisés en même temps. 

  • Inclut un GUID de processus dans les événements de création de processus pour permettre la corrélation des événements même lorsque Windows réutilise les ID de processus. 

  • Inclut un GUID de session dans chaque événement pour permettre la corrélation des événements sur la même session d’ouverture de session. 

  • Journalise le chargement de pilotes ou de DLL avec leurs signatures et hachages. 

  • Journaux lorsque des disques ou des volumes sont ouverts avec un accès en lecture brut. 

  • Journalise éventuellement les connexions réseau, y compris le processus source de chaque connexion, les adresses IP, les numéros de port, les noms d’hôte et les noms de port. 

  • Détecte les modifications apportées à l’heure de création du fichier pour comprendre quand un fichier a été créé. La modification des horodatages de création de fichier est une technique couramment utilisée par les logiciels malveillants pour couvrir ses traces. 

  • Rechargez automatiquement la configuration en cas de modification dans le Registre. 

  • Filtrage de règle pour inclure ou exclure certains événements de manière dynamique. 

  • Génère des événements à partir du début du processus de démarrage pour capturer l’activité effectuée par des programmes malveillants en mode noyau même sophistiqués. 

Ces fonctionnalités offrent aux équipes de sécurité un meilleur contexte que les journaux d’audit par défaut et améliorent la détection des comportements suspects tels que l’exécution hors du terrain, les mouvements latéraux et les activités malveillantes. 

Utilisation

Voici quelques exemples d’utilisation courants avec des options de ligne de commande simples pour installer et désinstaller Sysmon, ainsi que pour case activée et modifier sa configuration :

Installer:

sysmon -i [<configfile>]

Configuration de mise à jour :

sysmon -c [<configfile>]

Installer le manifeste d’événement :

sysmon -m

Schéma d’impression :

sysmon -s

Désinstaller:

sysmon -u [force]

Captures d’écran

La capture d’écran suivante montre les données de télémétrie Sysmon classiques dans le observateur d'événements Windows intégré :

Illustre les événements Sysmon capturés dans l’observateur d’événements.

La capture d’écran suivante montre les sorties Sysmon lors de la confirmation de la configuration des données de télémétrie :

Illustre une sortie dans PowerShell montrant la configuration Sysmon.

La capture d’écran suivante montre sysmon qui stocke activement les événements de télémétrie :

Illustre une sortie interrogeant des événements Sysmon dans PowerShell et observant les événements.

Événements localisés

Les événements Sysmon intégrés écrits dans le journal des événements Windows sont localisés, ce qui offre une expérience cohérente avec d’autres événements système Windows et s’aligne sur la langue configurée sur l’appareil. Bien que le message d’événement rendu (le texte affiché dans des outils tels que observateur d'événements) soit localisé, les données d’événement XML sous-jacentes ne sont pas localisées et restent cohérentes dans toutes les langues. Cette représentation XML peut être utilisée pour la collecte, l’agrégation et l’analyse d’événements fiables entre les environnements.

Ce comportement diffère de sysmon autonome et est important à prendre en compte lors de l’intégration de Sysmon intégré à des pipelines de collecte de journaux, des solutions SIEM ou une logique de traitement d’événements personnalisée.

Remarque

Si vous collectez ou traitez actuellement des événements Sysmon à l’aide de représentations non XML (telles que le texte de message rendu), vous devrez peut-être mettre à jour les scripts de traitement des événements pour prendre en compte la localisation sur les systèmes non anglais.

Maintenance et mises à jour

Les améliorations et les améliorations non liées à la sécurité de Sysmon intégrées sont fournies par le biais du processus de mise à jour qualité Windows standard, les modifications étant d’abord disponibles dans les mises à jour windows facultatives en préversion, puis déployées à grande échelle dans la prochaine mise à jour windows planifiée régulièrement. Pour plus d’informations, consultez Vue d’ensemble des mises à jour qualité Windows.

Pendant les mises à jour des fonctionnalités suivantes :

  • Les fichiers binaires Sysmon intégrés sont mis à jour, que Sysmon soit activé ou non. 

  • Si Sysmon intégré est activé, la transition vers les fichiers binaires mis à jour est transparente, la configuration existante est conservée et aucun redémarrage du système n’est nécessaire. 

  • Si Sysmon intégré n’est pas activé, la mise à jour remplace les fichiers binaires, mais Sysmon reste désactivé.

Les mises à jour des fonctionnalités de Sysmon intégré n’ont pas d’impact sur les installations Sysmon autonomes sur l’appareil. La coexistence entre Sysmon intégré et Sysmon autonome n’est pas prise en charge. 

Test et validation

Les organisations doivent suivre les pratiques de test des mises à jour Windows standard lors de l’adoption de nouvelles fonctionnalités Sysmon intégrées :

  • Évaluez les mises à jour d’aperçu facultatives dans les environnements de test ou pilotes. 

  • Passez en revue la sortie et le comportement de l’événement Sysmon après les mises à jour. 

  • Ajustez la configuration Sysmon en fonction des besoins avant le déploiement à grande échelle. 

Cette approche permet aux équipes de valider les modifications tout en conservant l’alignement avec leurs processus de gestion des mises à jour Windows existants.

Mises à jour qualité

Si un problème de sécurité critique affectant Sysmon intégré est identifié, le correctif est fourni dans le cadre de la mise à jour de sécurité mensuelle (mise à jour mardi/version B).

Les mises à jour de sécurité sont déployées à grande échelle et ne nécessitent pas de mises à jour de préversion d’adhésion.

Mises à jour s’appliquent que Sysmon intégré soit activé ou non, ce qui garantit que les composants Sysmon restent protégés.

Coexistence avec Sysmon & d’autres produits de sécurité

Sysmon intégré est conçu pour fonctionner comme une fonctionnalité Windows native et ne prend pas en charge la coexistence avec Sysmon autonome.

  • Sysmon autonome et Sysmon intégré ne peuvent pas être activés sur le même appareil en même temps.

  • Sysmon autonome doit être désinstallé avant d’activer Sysmon intégré.

  • Les mises à jour Windows qui fournissent ou mettent à jour Sysmon intégré n’affectent pas les installations Sysmon autonomes. Si Sysmon autonome est installé, il reste inchangé et Sysmon intégré reste désactivé.

Sysmon est compatible avec d’autres produits de sécurité tels que :

  • Transfert d’événements Windows et Collection d’événements Windows, qui agrègent les journaux Sysmon de manière centralisée à des fins d’analyse.

  • Microsoft Defender pour point de terminaison et d’autres plateformes EDR qui utilisent des événements Sysmon pour une logique de détection améliorée.

  • Solutions SIEM pour mettre en corrélation les données de télémétrie Sysmon avec d’autres sources de journaux.

Les fonctionnalités de filtrage et de configuration de Sysmon permettent aux administrateurs d’adapter la capture d’événements afin que les volumes de données restent gérables, ce qui réduit le chevauchement avec d’autres agents tout en optimisant la qualité du signal. Il n’est pas en conflit avec l’antivirus ou d’autres outils de surveillance, car il fournit des données de télémétrie brutes plutôt qu’une prévention active.

  • Last updated on