Panoramica di Sysmon

Monitoraggio di sistema predefinito (Sysmon) è una funzionalità di Windows facoltativa in Windows 11 e Windows Server 2025 che, se abilitata, rimane residente nei riavvii del sistema per monitorare e registrare l'attività del sistema nel registro eventi di Windows. Fornisce informazioni dettagliate sulla creazione di processi, la connessione di rete e gli eventi di modifica dell'ora di creazione dei file. Raccogliendo i relativi eventi tramite la raccolta di eventi di Windows o un agente SIEM , è possibile comprendere meglio cosa sta facendo il sistema. Questi eventi consentono di rilevare comportamenti dannosi o insoliti e di rivelare il modo in cui gli intrusi o il malware si spostano e operano all'interno dell'ambiente. 

Sysmon non analizza gli eventi generati, né tenta di nascondere la propria presenza agli utenti malintenzionati. 

Funzionalità di Sysmon

Sysmon include le funzionalità seguenti:

  • Registra la creazione del processo con la riga di comando completa sia per i processi correnti che per i processi padre. 

  • Registra l'hash dei file di immagine del processo usando SHA1 (impostazione predefinita), MD5, SHA256 o IMPHASH. 

  • È possibile usare più hash contemporaneamente. 

  • Include un GUID del processo negli eventi di creazione del processo per consentire la correlazione degli eventi anche quando Windows riutilizza gli ID processo. 

  • Include un GUID di sessione in ogni evento per consentire la correlazione degli eventi nella stessa sessione di accesso. 

  • Registra il caricamento di driver o DLL con firme e hash. 

  • Registra quando vengono aperti dischi o volumi con accesso in lettura non elaborato. 

  • Facoltativamente registra le connessioni di rete, inclusi il processo di origine, gli indirizzi IP, i numeri di porta, i nomi host e i nomi delle porte di ogni connessione. 

  • Rileva le modifiche nel tempo di creazione del file per comprendere quando è stato effettivamente creato un file. La modifica dei timestamp di creazione di file è una tecnica comunemente usata dal malware per coprire le sue tracce. 

  • Ricaricare automaticamente la configurazione se modificata nel Registro di sistema. 

  • Filtro delle regole per includere o escludere determinati eventi in modo dinamico. 

  • Genera eventi dalle prime fasi del processo di avvio per acquisire l'attività eseguita da malware in modalità kernel anche sofisticato. 

Queste funzionalità offrono ai team di sicurezza un contesto migliore rispetto ai soli log di controllo predefiniti e migliorano il rilevamento di comportamenti sospetti, ad esempio l'esecuzione in modalità living-off-the-land, lo spostamento laterale e le attività dannose. 

Usage

Alcuni esempi di utilizzo comuni con semplici opzioni della riga di comando per installare e disinstallare Sysmon, nonché per verificarne e modificarne la configurazione:

Installare:

sysmon -i [<configfile>]

Configurazione dell'aggiornamento:

sysmon -c [<configfile>]

Installare il manifesto dell'evento:

sysmon -m

Schema di stampa:

sysmon -s

Disinstallare:

sysmon -u [force]

Screenshot

Lo screenshot seguente mostra i dati di telemetria tipici di Sysmon nel Visualizzatore eventi predefinito di Windows:

Illustra gli eventi Sysmon acquisiti nel Visualizzatore eventi.

Lo screenshot seguente mostra gli output di Sysmon quando si conferma la configurazione dei dati di telemetria:

Illustra un output in PowerShell che mostra la configurazione di Sysmon.

Lo screenshot seguente mostra Sysmon che archivia attivamente gli eventi di telemetria:

Illustra un output che esegue query sugli eventi Sysmon in PowerShell e osserva gli eventi.

Eventi localizzati

Gli eventi Sysmon predefiniti scritti nel registro eventi di Windows vengono localizzati, offrendo un'esperienza coerente con altri eventi di sistema di Windows e allineandosi alla lingua configurata nel dispositivo. Anche se il messaggio di evento sottoposto a rendering (il testo visualizzato in strumenti come Visualizzatore eventi) è localizzato, i dati degli eventi XML sottostanti non vengono localizzati e rimangono coerenti in tutte le lingue. Questa rappresentazione XML può essere usata per la raccolta, l'aggregazione e l'analisi di eventi affidabili in tutti gli ambienti.

Questo comportamento differisce da Sysmon autonomo ed è importante considerare quando si integra Sysmon predefinito con pipeline di raccolta log, soluzioni SIEM o logica di elaborazione eventi personalizzata.

Nota

Se attualmente si raccolgono o si elaborano eventi Sysmon usando rappresentazioni non XML (ad esempio il testo del messaggio sottoposto a rendering), potrebbe essere necessario aggiornare gli script di elaborazione degli eventi per tenere conto della localizzazione in sistemi non inglesi.

Manutenzione e aggiornamenti

Miglioramenti e miglioramenti non della sicurezza per Sysmon predefinito vengono forniti tramite il processo di aggiornamento qualità standard di Windows, con modifiche disponibili prima negli aggiornamenti facoltativi di anteprima di Windows e quindi distribuite su larga scala nel successivo aggiornamento regolarmente pianificato di Windows. Per altre informazioni, vedere Panoramica degli aggiornamenti qualitativi di Windows.

Durante questi aggiornamenti delle funzionalità:

  • I file binari Sysmon predefiniti vengono aggiornati indipendentemente dal fatto che Sysmon sia attualmente abilitato. 

  • Se Sysmon predefinito è abilitato, la transizione ai file binari aggiornati è semplice, la configurazione esistente viene mantenuta e non è necessario riavviare il sistema. 

  • Se Sysmon predefinito non è abilitato, l'aggiornamento sostituisce i file binari, ma Sysmon rimane disabilitato.

Gli aggiornamenti delle funzionalità per Sysmon predefinito non influiscono sulle installazioni di Sysmon autonome nel dispositivo. La coesistenza tra Sysmon predefinito e Sysmon autonomo non è supportata. 

Test e convalida

Le organizzazioni devono seguire le procedure standard di test degli aggiornamenti di Windows quando si adottano nuove funzionalità sysmon predefinite:

  • Valutare gli aggiornamenti di anteprima facoltativi in ambienti di test o pilota. 

  • Esaminare l'output e il comportamento degli eventi sysmon dopo gli aggiornamenti. 

  • Modificare la configurazione di Sysmon in base alle esigenze prima di un'ampia distribuzione. 

Questo approccio consente ai team di convalidare le modifiche mantenendo l'allineamento con i processi di gestione degli aggiornamenti di Windows esistenti.

Aggiornamenti qualitativi

Se viene identificato un problema di sicurezza critico che interessa Sysmon predefinito, la correzione viene fornita come parte della versione mensile degli aggiornamenti della sicurezza (aggiornamento martedì/versione B).

Gli aggiornamenti della sicurezza vengono distribuiti su larga scala e non richiedono aggiornamenti di anteprima opt-in.

Aggiornamenti si applicano indipendentemente dal fatto che Sysmon predefinito sia abilitato, garantendo che i componenti sysmon rimangano protetti.

Coesistenza con Sysmon & altri prodotti di sicurezza

Sysmon predefinito è progettato per funzionare come funzionalità nativa di Windows e non supporta la coesistenza con Sysmon autonomo.

  • Sysmon autonomo e Sysmon predefinito non possono essere abilitati nello stesso dispositivo contemporaneamente.

  • È necessario disinstallare Sysmon autonomo prima di abilitare Sysmon predefinito.

  • Gli aggiornamenti di Windows che recapitano o aggiornano Sysmon predefinito non influiscono sulle installazioni sysmon autonome. Se sysmon autonomo è installato, rimane invariato e Sysmon predefinito rimane disabilitato.

Sysmon è compatibile con altri prodotti di sicurezza, ad esempio:

  • Inoltro eventi di Windows e raccolta di eventi di Windows, che aggregano i log di Sysmon centralmente per l'analisi.

  • Microsoft Defender per endpoint e altre piattaforme EDR che utilizzano eventi Sysmon per una logica di rilevamento avanzata.

  • Soluzioni SIEM per correlare i dati di telemetria sysmon con altre origini di log.

Le funzionalità di filtro e configurazione di Sysmon consentono agli amministratori di personalizzare l'acquisizione degli eventi in modo che i volumi di dati rimangano gestibili, riducendo al minimo la sovrapposizione con altri agenti ottimizzando al contempo la qualità del segnale. Non è in conflitto con l'antivirus o altri strumenti di monitoraggio, in quanto fornisce dati di telemetria non elaborati anziché prevenzione attiva.

  • Last updated on