Dans le cadre de sa Secure Future Initiative, Microsoft a pris la décision d’intégrer nativement Sysmon à Windows 11 et Windows Server 2025, dès l’année prochaine. Une vraie bonne idée ! À quoi sert cet outil ? Qu’est-ce que ça va réellement changer ? Faisons le point.

Sysmon intégré à Windows : une bonne nouvelle

Que ce soit pour les administrateurs systèmes ou les analystes SOC, Sysmon est un outil indispensable pour mieux surveiller l’activité d’une machine Windows, autant pour la surveillance des processus ou des connexions réseau. Cet outil gratuit intégré à la suite Sysinternals vient enrichir les journaux de l’Observateur d’événements de façon à faciliter la détection des actions malveillantes. Ces logs sont d’ailleurs très intéressants pour alimenter un SIEM qui se chargera de les centraliser et de les analyser.

“La fonctionnalité Sysmon de Windows fournit des signaux de détection riches et intégrés qui permettent une détection avancée des menaces et une analyse forensic.“, précise Microsoft.

Jusqu’ici, il fallait le déployer sur chaque machine, que ce soit manuellement ou de façon automatisée, ce qui impliquait aussi de gérer l’évolution des versions. Microsoft a pris la décision de l’intégrer à Windows, mais il faudra tout de même l’activer via “Activer ou désactiver des fonctionnalités Windows“.

Microsoft précise ensuite qu’il faudra l’installer via la commande ci-dessous pour installer le pilote et le service. Le service démarrera automatiquement avec la configuration par défaut.

Ce qui est intéressant, c’est le fait que les sources de Sysmon soient intégrées à Windows 11 et Windows Server 2025. De plus, les mises à jour de Sysmon seront reçues par l’intermédiaire de Windows Update. Donc, même si son installation nécessite encore quelques actions de la part d’un administrateur, c’est une évolution intéressante.

Par la suite, il n’est pas à exclure que des capacités IA soient associées à Sysmon. “L’intégration de la fonctionnalité Sysmon dans Windows n’est qu’un début. Nous prévoyons de continuer à investir dans des fonctionnalités supplémentaires telles que la gestion à l’échelle de l’entreprise et l’inférence basée sur l’IA.“, précise Microsoft.

Quels sont les événements générés par Sysmon ?

Dans son article de blog, Microsoft donne quelques exemples intéressants qui illustrent bien le potentiel de Sysmon dans un contexte de détection des menaces :

• Event ID 1 – Création d’un processus

Détection d’activités suspectes telles que , fréquentes dans les attaques fileless.

• Event ID 3 – Connexion réseau

Une connexion réseau sortante inattendue, qui peut correspondre à une potentielle communication vers un serveur C2.

• Event ID 8 – Accès à un processus

Repérer des tentatives d’accès au processus LSASS, ce dernier étant sensible et il peut être ciblé pour extraire des identifiants.

• Event ID 11 – Création d’un fichier

Détection de scripts malveillants dans les répertoires temporaires, comme : .

Si vous souhaitez en savoir plus sur Sysmon, que ce soit pour le déploiement ou la configuration et ses capacités de détection, consultez ces deux tutoriels :

• Windows : utilisation de Sysmon pour tracer les activités malveillantes
• Installer et configurer Sysmon sur Windows avec une GPO

Qu’en pensez-vous ?

Source