У Windows 11 з’явилася функція виявлення кіберзагроз

В останніх збірках Windows 11 для учасників програми Insider (канали Dev та Beta) з’явилася можливість увімкнути Sysmon як вбудований опціональний компонент. Раніше цю утиліту з набору Sysinternals потрібно було встановлювати окремо.

Sysmon призначена для реєстрації системних подій, зокрема запуску процесів, мережевих підключень, змін у реєстрі та операцій із файлами. Дані зберігаються в журналі подій Windows і можуть використовуватися для аналізу поведінки системи. За замовчуванням функцію вимкнено. Активувати її можна через «Параметри» → «Система» → «Додаткові функції» → «Інші функції Windows» або за допомогою PowerShell.

Перед активацією вбудованої версії Sysmon на пристрої рекомендується видалити автономну версію, як радить Microsoft. Для роботи інструменту потрібен зовнішній файл конфігурації, який визначає набір подій для відстеження. Без такого файлу обсяг даних, що записуються, може суттєво зрости.

Sysmon не виконує функцій захисту в реальному часі: вона не блокує процеси, не генерує сповіщень і не має користувацького інтерфейсу. Її призначення — фіксація подій для подальшого аналізу.

Інтеграція утиліти до складу Windows 11 усуває необхідність ручного завантаження виконуваного файлу та дозволяє керувати її наявністю через стандартні механізми операційної системи. Водночас для інтерпретації зібраних даних потрібне додаткове програмне забезпечення та спеціалізовані знання.