Η Microsoft τήρησε επιτέλους την υπόσχεσή της να ενσωματώσει το Sysmon – ένα εργαλείο παρακολούθησης συστήματος από τη σουίτα Sysinternals – απευθείας στα Windows, μια κίνηση που θα πρέπει να κάνει τη ζωή σημαντικά ευκολότερη για τους διαχειριστές επιχειρήσεων που δυσκολεύονταν με την ανάπτυξη και τη διαχείριση του βοηθητικού προγράμματος σε χιλιάδες τερματικά σημεία.
Η συγκεκριμένη λειτουργικότητα ενσωματώθηκε αυτή την εβδομάδα στις εκδόσεις 26300.7733 (κανάλι Dev) και 26220.7752 (κανάλι Beta) των Windows Insider.
Το Sysmon επιτρέπει στους διαχειριστές να καταγράφουν συμβάντα συστήματος μέσω προσαρμοσμένων αρχείων ρυθμίσεων, να φιλτράρουν για συγκεκριμένη δραστηριότητα και να διοχετεύουν τα δεδομένα σε τυπικά αρχεία καταγραφής συμβάντων των Windows για συλλογή από εργαλεία ασφαλείας και SIEM pipelines.
Ο Mark Russinovich, τεχνικός συνεργάτης της Microsoft και συνιδρυτής των Winternals, έχει επισημάνει επανειλημμένως την έλλειψη μιας επίσημης υποστήριξης πελατών για το Sysmon σε περιβάλλοντα παραγωγής – ένα κενό που κλείνει αυτή η προσθήκη.
Η λειτουργία κυκλοφορεί απενεργοποιημένη από προεπιλογή και απαιτεί την ενεργοποίηση μέσω του PowerShell.
Η Microsoft αναφέρει ότι οποιαδήποτε υπάρχουσα εγκατάσταση Sysmon θα πρέπει να απεγκατασταθεί πριν από την ενεργοποίηση της ενσωματωμένης έκδοσης.
Ενεργοποίηση
Ανοίξτε ένα PowerShell σαν διαχειριστής και τρέξτε τις παρακάτω εντολές
Dism /Online /Enable-Feature /FeatureName:Sysmon
και
sysmon -i
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
