Windows bogatejši za priljubljeno orodje

Microsoft je prijetno presenetil sistemske administratorje z odločitvijo, da v operacijski sistem Windows vgradi priljubljeno orodje Sysmon. 

Funkcija, ki je bila doslej del zbirke Sysinternals in jo je bilo treba nameščati ločeno, je zdaj na voljo neposredno v testnih različicah Windows Insider (kanala Dev in Beta). To pomeni konec zahtevnega upravljanja namestitev na tisočih delovnih postajah, saj bo orodje za napredno spremljanje sistemskih dogodkov postalo sestavni del okolja Windows.

Sysmon je ključno orodje za varnostne strokovnjake, saj omogoča podrobno beleženje dogodkov, kot so ustvarjanje procesov, omrežne povezave in spremembe v registru, kar je neprecenljivo pri odkrivanju tatvin poverilnic, prikritih premikih napadalcev po omrežju in forenzičnih preiskavah. Z novo integracijo lahko administratorji prek ukazov PowerShell in prilagojenih konfiguracijskih datotek filtrirajo specifične dogodke, ki se nato zapišejo v standardni sistemski dnevnik, od koder jih lahko prevzamejo varnostna orodja (SIEM).

Čeprav je funkcija privzeto onemogočena in zahteva nekaj dela v ukazni vrstici, njena vključitev v jedro sistema pomeni tudi uradno Microsoftovo podporo, ki je samostojno orodje nikoli ni imelo. Številni strokovnjaki to potezo pozdravljajo kot osvežujoč odmik od Microsoftovega nenehnega osredotočanja na umetno inteligenco. Namesto dodajanja novih filtrov v Slikarja ali povzetkov v Beležnico je podjetje končno ponudilo orodje, ki dejansko olajša delo administratorjem in povečuje varnost v poslovnih okoljih.