組み込みのシステム モニター (Sysmon) は、Windows 11および Windows Server 2025 のオプションの Windows 機能であり、有効にすると、システムの再起動を通じて常駐したままになり、システム アクティビティを監視し、Windows イベント ログに記録します。 プロセスの作成、ネットワーク接続、およびファイル作成の時刻変更イベントに関する詳細情報が提供されます。 Windows イベント コレクションまたは SIEM エージェントを使用してそのイベントを収集することで、システムの動作をよりよく理解できます。 これらのイベントは、悪意のある、または異常な動作を検出し、侵入者やマルウェアが環境内でどのように移動して動作するかを明らかにするのに役立ちます。
Sysmon は、生成されたイベントを分析せず、攻撃者からその存在を隠そうともしません。
Sysmon 機能
Sysmon には、次の機能が含まれています。
現在のプロセスと親プロセスの両方について、完全なコマンド ラインを使用してプロセスの作成をログに記録します。
SHA1 (既定値)、MD5、SHA256、IMPHASH を使用してプロセス イメージ ファイルのハッシュを記録します。
複数のハッシュを同時に使用できます。
プロセス作成イベントにプロセス GUID が含まれるので、Windows がプロセス ID を再利用する場合でもイベントの関連付けを可能にします。
各イベントにセッション GUID を含め、同じログオン セッションでのイベントの関連付けを許可します。
署名とハッシュを使用してドライバーまたは DLL の読み込みをログに記録します。
ディスクまたはボリュームが未加工の読み取りアクセスで開かれた場合のログ。
必要に応じて、各接続のソース プロセス、IP アドレス、ポート番号、ホスト名、ポート名など、ネットワーク接続をログに記録します。
ファイルが実際に作成された日時を把握するために、ファイル作成時間の変更を検出します。 ファイル作成タイムスタンプの変更は、マルウェアがトラックをカバーするために一般的に使用する手法です。
レジストリで変更された場合は、構成を自動的に再読み込みします。
特定のイベントを動的に含めたり除外したりするためのルール フィルタリング。
高度なカーネル モードマルウェアによって行われたアクティビティをキャプチャするために、ブート プロセスの早い段階からイベントを生成します。
これらの機能により、セキュリティ チームは既定の監査ログよりもコンテキストが向上し、土地外での実行、横移動、悪意のあるアクティビティなどの疑わしい動作の検出が向上します。
使用方法
Sysmon のインストールとアンインストール、および構成のチェックと変更を行う簡単なコマンド ライン オプションを特徴とする一般的な使用例を次に示します。
インストール:
sysmon -i [<configfile>]
更新構成:
sysmon -c [<configfile>]
イベント マニフェストをインストールします。
sysmon -m
印刷スキーマ:
sysmon -s
アンインストール:
sysmon -u [force]
スクリーンショット
次のスクリーンショットは、組み込みの Windows イベント ビューアーでの一般的な Sysmon テレメトリを示しています。
次のスクリーンショットは、テレメトリ構成を確認するときの Sysmon 出力を示しています。
次のスクリーンショットは、テレメトリ イベントをアクティブに格納している Sysmon を示しています。
ローカライズされたイベント
Windows イベント ログに書き込まれた組み込みの Sysmon イベントはローカライズされており、他の Windows システム イベントと一貫性のあるエクスペリエンスを提供し、デバイスで構成されている言語と連携します。 レンダリングされたイベント メッセージ (イベント ビューアー などのツールに表示される表示テキスト) はローカライズされますが、基になる XML イベント データはローカライズされず、すべての言語で一貫性が保たれます。 この XML 表現は、環境間で信頼性の高いイベント収集、集計、分析に使用できます。
この動作はスタンドアロン Sysmon とは異なり、組み込みの Sysmon をログ 収集パイプライン、SIEM ソリューション、またはカスタム イベント処理ロジックと統合する場合に考慮する必要があります。
注
現在、XML 以外の表現 (レンダリングされたメッセージ テキストなど) を使用して Sysmon イベントを収集または処理している場合は、英語以外のシステムでのローカライズを考慮してイベント処理スクリプトを更新する必要がある場合があります。
サービスと更新プログラム
組み込みの Sysmon に対する機能強化とセキュリティ以外の機能強化は、標準の Windows 品質更新プログラム プロセスを通じて提供され、変更は最初にオプションの Windows プレビュー更新プログラムで利用でき、次に定期的にスケジュールされた次の Windows 更新プログラムに広く展開されます。 詳細については、「 Windows 品質更新プログラムの概要」を参照してください。
これらの機能の更新中:
Sysmon が現在有効になっているかどうかにかかわらず、組み込みの Sysmon バイナリが更新されます。
組み込みの Sysmon が有効になっている場合、更新されたバイナリへの移行はシームレスであり、既存の構成は保持され、システムの再起動は必要ありません。
組み込みの Sysmon が有効になっていない場合、更新プログラムはバイナリを置き換えますが、Sysmon は無効のままです。
組み込みの Sysmon の機能更新プログラムは、デバイス上のスタンドアロン Sysmon インストールには影響しません。 組み込みの Sysmon とスタンドアロン Sysmon の共存はサポートされていません。
テストと検証
組織は、新しい組み込みの Sysmon 機能を採用するときに、標準の Windows 更新プログラムのテストプラクティスに従う必要があります。
テスト環境またはパイロット環境でオプションのプレビュー更新プログラムを評価します。
更新後の Sysmon イベントの出力と動作を確認します。
広範なデプロイの前に、必要に応じて Sysmon 構成を調整します。
このアプローチにより、チームは既存の Windows 更新プログラム管理プロセスとの整合性を維持しながら変更を検証できます。
品質更新プログラム
組み込みの Sysmon に影響する重大なセキュリティの問題が特定された場合、修正プログラムは月次セキュリティ更新プログラムリリース (更新プログラム火曜日/B リリース) の一部として配信されます。
セキュリティ更新プログラムは広範に展開され、オプトイン プレビュー更新プログラムは必要ありません。
組み込みの Sysmon が有効になっているかどうかに関係なく適用Updates、Sysmon コンポーネントが保護されたままであることを確認します。
Sysmon & その他のセキュリティ製品との共存
組み込みの Sysmon は、ネイティブ Windows 機能として動作するように設計されており、スタンドアロン Sysmon との共存をサポートしていません。
スタンドアロン Sysmon と組み込みの Sysmon を同時に同じデバイスで有効にすることはできません。
組み込みの Sysmon を有効にする前に、スタンドアロン Sysmon をアンインストールする必要があります。
組み込みの Sysmon を提供または更新する Windows 更新プログラムは、スタンドアロンの Sysmon インストールには影響しません。 スタンドアロン Sysmon がインストールされている場合は、変更されず、組み込みの Sysmon は無効のままです。
Sysmon は、次のような他のセキュリティ製品と互換性があります。
分析のために Sysmon ログを一元的に集計する Windows イベント転送と Windows イベント コレクション。
検出ロジックを強化するために Sysmon イベントを使用するMicrosoft Defender for Endpointおよびその他の EDR プラットフォーム。
Sysmon テレメトリを他のログ ソースと関連付ける SIEM ソリューション。
Sysmon のフィルター処理と構成機能を使用すると、管理者はイベント キャプチャを調整して、データ ボリュームを管理し続け、他のエージェントとの重複を最小限に抑えながら、信号品質を最大化できます。 アクティブな防止ではなく生のテレメトリが提供されるため、ウイルス対策やその他の監視ツールと競合しません。