Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Monitor de Sistema Incorporado (Sysmon) é uma funcionalidade opcional do Windows no Windows 11 e Windows Server 2025 que, quando ativada, permanece residente em todos os reinícios do sistema para monitorizar e registar a atividade do sistema no registo de eventos do Windows. Fornece informações detalhadas sobre a criação de processos, ligação de rede e eventos de alteração da hora de criação de ficheiros. Ao recolher os seus eventos através da Coleção de Eventos do Windows ou de um agente SIEM , pode compreender melhor o que o sistema está a fazer. Estes eventos ajudam-no a detetar comportamentos maliciosos ou invulgares e a revelar como os intrusos ou software maligno se movem e operam no seu ambiente.
O Sysmon não analisa os eventos que gera, nem tenta ocultar a sua presença dos atacantes.
Capacidades do Sysmon
O Sysmon inclui as seguintes capacidades:
Regista a criação do processo com a linha de comandos completa para os processos atuais e principais.
Regista o hash dos ficheiros de imagem do processo com SHA1 (predefinição), MD5, SHA256 ou IMPHASH.
Podem ser utilizados vários hashes ao mesmo tempo.
Inclui um GUID de processo no processo para criar eventos para permitir a correlação de eventos, mesmo quando o Windows reutiliza os IDs do processo.
Inclui um GUID de sessão em cada evento para permitir a correlação de eventos na mesma sessão de início de sessão.
Regista o carregamento de controladores ou DLLs com as respetivas assinaturas e hashes.
Regista quando os discos ou volumes são abertos com acesso de leitura não processado.
Opcionalmente, regista ligações de rede, incluindo o processo de origem de cada ligação, endereços IP, números de porta, nomes de anfitrião e nomes de portas.
Deteta alterações na hora de criação de ficheiros para compreender quando um ficheiro foi realmente criado. A modificação dos carimbos de data/hora de criação de ficheiros é uma técnica normalmente utilizada por software maligno para cobrir as suas faixas.
Recarregue automaticamente a configuração se for alterada no registo.
Filtragem de regras para incluir ou excluir determinados eventos dinamicamente.
Gera eventos desde o início do processo de arranque até à atividade de captura feita por software maligno de modo kernel sofisticado.
Estas capacidades proporcionam às equipas de segurança um melhor contexto do que apenas os registos de auditoria predefinidos e melhoram a deteção de comportamentos suspeitos, como execução fora do terreno, movimento lateral e atividade maliciosa.
Utilização
Alguns exemplos de utilização comuns com opções de linha de comandos simples para instalar e desinstalar o Sysmon, bem como para marcar e modificar a configuração:
Instalar:
sysmon -i [<configfile>]
Configuração da atualização:
sysmon -c [<configfile>]
Instalar manifesto de evento:
sysmon -m
Esquema de impressão:
sysmon -s
Desinstalar:
sysmon -u [force]
Capturas de tela
A captura de ecrã seguinte mostra a telemetria típica do Sysmon no Windows Visualizador de Eventos incorporado:
A captura de ecrã seguinte mostra as saídas do Sysmon ao confirmar a configuração da telemetria:
A captura de ecrã seguinte mostra o Sysmon a armazenar ativamente eventos de telemetria:
Eventos localizados
Os eventos Sysmon incorporados escritos no registo de eventos do Windows são localizados, proporcionando uma experiência consistente com outros eventos do sistema Windows e alinhados com o idioma configurado no dispositivo. Enquanto a mensagem de evento composto (o texto de apresentação apresentado em ferramentas como Visualizador de Eventos) é localizada, os dados de eventos XML subjacentes não são localizados e permanecem consistentes em todos os idiomas. Esta representação XML pode ser utilizada para a recolha, agregação e análise de eventos fiáveis em ambientes.
Este comportamento difere do Sysmon autónomo e é importante ter em consideração a integração do Sysmon incorporado com pipelines de recolha de registos, soluções SIEM ou lógica de processamento de eventos personalizada.
Observação
Se atualmente recolher ou processar eventos Sysmon com representações não XML (como texto de mensagem composta), poderá ter de atualizar os scripts de processamento de eventos para ter em conta a localização em sistemas não ingleses.
Manutenção e atualizações
Os melhoramentos e melhorias não relacionadas com segurança do Sysmon incorporado são fornecidos através do processo de atualização de qualidade padrão do Windows, com as alterações disponíveis primeiro nas atualizações de pré-visualização opcionais do Windows e, em seguida, amplamente implementadas na próxima atualização regular do Windows. Para obter mais informações, consulte Descrição geral das atualizações de qualidade do Windows.
Durante estas atualizações de funcionalidades:
Os binários do Sysmon incorporados são atualizados se o Sysmon está ou não ativado.
Se o Sysmon incorporado estiver ativado, a transição para os binários atualizados é totalmente integrada, a configuração existente é preservada e não é necessário reiniciar o sistema.
Se o Sysmon incorporado não estiver ativado, a atualização substitui os binários, mas o Sysmon permanece desativado.
As atualizações de funcionalidades do Sysmon incorporado não afetam as instalações autónomas do Sysmon no dispositivo. A coexistência entre o Sysmon incorporado e o Sysmon autónomo não é suportada.
Teste e validação
As organizações devem seguir as práticas padrão de teste de atualização do Windows ao adotar novas funcionalidades incorporadas do Sysmon:
Avalie as atualizações de pré-visualização opcionais em ambientes de teste ou piloto.
Reveja o comportamento e a saída do evento Sysmon após as atualizações.
Ajuste a configuração do Sysmon conforme necessário antes de uma implementação abrangente.
Esta abordagem permite que as equipas validem as alterações, mantendo o alinhamento com os processos de gestão de atualizações do Windows existentes.
Atualizações de qualidade
Se for identificado um problema de segurança crítico que afete o Sysmon incorporado, a correção é fornecida como parte da Versão de Atualização de Segurança Mensal (atualização terça-feira/versão B).
As atualizações de segurança são implementadas amplamente e não requerem atualizações de pré-visualização de opção ativa.
Atualizações aplicar independentemente de o Sysmon incorporado estar ativado, garantindo que os componentes do Sysmon permanecem protegidos.
Coexistência com o Sysmon & Outros Produtos de Segurança
O Sysmon incorporado foi concebido para funcionar como uma capacidade nativa do Windows e não suporta a coexistência com o Sysmon autónomo.
O Sysmon autónomo e o Sysmon incorporado não podem ser ativados no mesmo dispositivo ao mesmo tempo.
O Sysmon autónomo tem de ser desinstalado antes de ativar o Sysmon incorporado.
As atualizações do Windows que fornecem ou atualizam o Sysmon incorporado não afetam as instalações autónomas do Sysmon. Se o Sysmon autónomo estiver instalado, permanece inalterado e o Sysmon incorporado permanece desativado.
O Sysmon é compatível com outros produtos de segurança, tais como:
O Reencaminhamento de Eventos do Windows e a Coleção de Eventos do Windows, que agregam os registos do Sysmon centralmente para análise.
Microsoft Defender para Ponto de Extremidade e outras plataformas EDR que consomem eventos Sysmon para uma lógica de deteção melhorada.
Soluções SIEM para correlacionar a telemetria do Sysmon com outras origens de registo.
As capacidades de filtragem e configuração do Sysmon permitem que os administradores adaptem a captura de eventos para que os volumes de dados permaneçam geríveis, minimizando a sobreposição com outros agentes e maximizando a qualidade do sinal. Não entra em conflito com o antivírus ou com outras ferramentas de monitorização, uma vez que fornece telemetria não processada em vez de prevenção ativa.