Sysmon 概述

內建系統監控器 (Sysmon) 是 Windows Windows 11 及 2025 Windows Server 的選配功能,啟用後會在系統重啟後持續保留,監控並記錄系統活動至事件日誌。 它提供關於程序建立、網路連線及檔案建立時間變更事件的詳細資訊。 透過 Windows 事件收集SIEM 代理程式收集事件,您可以更了解系統的運作。 這些事件幫助你偵測惡意或異常行為,並揭示入侵者或惡意軟體在環境中的移動與運作方式。 

Sysmon 不會分析它產生的事件,也不會試圖隱藏自己的存在不被攻擊者發現。 

Sysmon 功能

Sysmon 具備以下功能:

  • 記錄程序建立時,並完整命令列涵蓋目前與父程序。 

  • 記錄使用 SHA1 (預設) MD5、SHA256 或 IMPHASH 的流程影像檔案雜湊值。 

  • 多個雜湊值可以同時使用。 

  • 在 Process Create Events 中包含程序 GUID,即使 Windows 重複使用程序 ID,也能將事件關聯起來。 

  • 每個事件中包含一個會話 GUID,以便將同一登入會話中的事件相互關聯。 

  • 記錄驅動程式或 DLL 的載入,並附上它們的簽名和雜湊值。 

  • 當磁碟或磁碟區以原始讀取權限開啟時,會進行日誌。 

  • 可選擇性地記錄網路連線,包括每個連線的來源程序、IP 位址、埠號、主機名稱及埠名。 

  • 偵測檔案建立時間的變化,以了解檔案實際建立的時間。 修改檔案建立時間戳記是惡意軟體常用來掩蓋痕跡的手法。 

  • 如果登錄檔有更改設定,會自動重新載入設定。 

  • 規則過濾以動態包含或排除某些事件。 

  • 從開機過程早期產生事件,捕捉即使是複雜核心模式惡意軟體的活動。 

這些功能讓資安團隊比單靠預設稽核日誌更有上下文,並能提升偵測可疑行為,如「離地生活」執行、橫向移動及惡意活動。 

Usage

以下是一些常見的使用範例,提供簡單的命令列選項來安裝與卸載 Sysmon,以及檢查和修改其設定:

安裝:

sysmon -i [<configfile>]

更新設定:

sysmon -c [<configfile>]

安裝事件清單:

sysmon -m

列印架構:

sysmon -s

卸載:

sysmon -u [force]

螢幕擷取畫面

以下截圖顯示了內建 Windows 事件檢視器中典型的 Sysmon 遙測數據:

說明事件檢視器中捕捉的 Sysmon 事件。

以下截圖展示了 Sysmon 確認遙測設定時的輸出:

說明 PowerShell 中 Sysmon 配置的輸出。

以下截圖展示了 Sysmon 積極儲存遙測事件的情況:

說明在 PowerShell 中查詢 Sysmon 事件並觀察事件的輸出。

地方性事件

寫入 Windows 事件日誌的內建 Sysmon 事件會被本地化,提供與其他 Windows 系統事件一致的體驗,並與裝置上設定的語言保持一致。 雖然在 事件檢視器) 等工具中顯示的事件訊息 (顯示文字已本地化,但底層的 XML 事件資料並未本地化,且在所有語言間保持一致。 這種 XML 表示方式可用於跨環境的可靠事件收集、聚合與分析。

此行為與獨立 Sysmon 不同,且在整合內建 Sysmon 與日誌收集管線、SIEM 解決方案或自訂事件處理邏輯時,需予以重視。

注意

如果您目前使用非 XML 表示方式(如渲染的訊息文字) )收集或處理 Sysmon 事件 (,您可能需要更新事件處理腳本以因應非英語系統的在地化需求。

維修與更新

內建 Sysmon 的增強與非安全性改進,皆透過標準的 Windows 品質更新流程進行,變更先在可選的 Windows 預覽版更新中提供,隨後在下一次定期排程的 Windows 更新中廣泛部署。 欲了解更多資訊,請參閱 Windows 品質更新總覽

在這些功能更新期間:

  • 內建的 Sysmon 二進位檔會根據 Sysmon 是否啟用而持續更新。 

  • 若啟用內建 Sysmon,轉換為更新二進位檔的過程將無縫,現有設定會被保留,且不需重啟系統。 

  • 如果內建 Sysmon 沒有啟用,更新會替換二進位檔,但 Sysmon 仍然會被禁用。

內建 Sysmon 的功能更新不會影響裝置上的獨立 Sysmon 安裝。 內建 Sysmon 與獨立 Sysmon 不支援共存。 

測試與驗證

組織在採用新的內建 Sysmon 功能時,應遵循標準的 Windows 更新測試流程:

  • 評估測試或試點環境中的可選預覽更新。 

  • 更新後檢視 Sysmon 事件輸出與行為。 

  • 在廣泛部署前,請依需求調整 Sysmon 設定。 

這種方法讓團隊能在與現有 Windows 更新管理流程保持一致的同時,驗證變更。

品質更新

若發現影響內建 Sysmon 的關鍵安全問題,修補將作為每月安全更新釋出 (Update Tuesday / B 版) 的一部分提供。

安全更新是廣泛部署的,不需要選擇加入的預覽更新。

匯報無論是否啟用內建 Sysmon 都會生效,確保 Sysmon 元件受到保護。

與其他安全產品 & Sysmon 共存

內建的 Sysmon 設計為原生 Windows 功能,不支援與獨立 Sysmon 共存。

  • 獨立的 Sysmon 和內建的 Sysmon 無法在同一台裝置上同時啟用。

  • 啟用內建 Sysmon 前,必須先卸載獨立 Sysmon。

  • 提供或更新內建 Sysmon 的 Windows 更新不會影響獨立的 Sysmon 安裝。 若安裝獨立 Sysmon,則保持不變,內建 Sysmon 也會被停用。

Sysmon 與其他安全產品相容,例如:

  • Windows 事件轉發與 Windows 事件收集,集中彙整 Sysmon 日誌以便分析。

  • 適用於端點的 Microsoft Defender 及其他使用 Sysmon 事件以強化偵測邏輯的 EDR 平台。

  • SIEM 解決方案,將 Sysmon 遙測數據與其他日誌來源關聯起來。

Sysmon 的過濾與設定功能允許管理員調整事件擷取,使資料量保持可控,減少與其他代理的重疊,同時最大化訊號品質。 它不會與防毒軟體或其他監控工具衝突,因為它提供原始的遙測資料,而非主動預防。

  • Last updated on