TokyoBlackHatNews

bleepingcomputer.com 5分で読了

Microsoft、Windows 11 と Server 2025 にネイティブな Sysmon サポートを導入

Image

Microsoft は本日、来年に Sysmon を Windows 11 および Windows Server 2025 にネイティブ統合し、スタンドアロンの Sysinternals ツールを展開する必要がなくなると発表しました。

「来年、Windows 11 および Windows Server 2025 向けの Windows 更新プログラムによって、Sysmon の機能が Windows にネイティブに導入されます」と、Sysinternals の開発者 Mark Russinovich による発表には記されています。

「Sysmon の機能により、カスタム構成ファイルを使用して取得されたイベントをフィルタリングできます。これらのイベントは Windows イベント ログに書き込まれ、セキュリティ アプリケーションを含む幅広いユースケースを可能にします。」

Sysmon(System Monitor)は、悪意のある/疑わしいアクティビティを監視・ブロックし、イベントを Windows イベント ログに記録するよう構成できる、無料の Microsoft Sysinternals ツールです。

既定では、Sysmon はプロセスの作成と終了などの基本的なイベントを監視します。しかし、プロセス改ざんDNS クエリ実行ファイルの作成Windows クリップボードの変更削除ファイルの自動バックアップなど、より高度な動作を監視・実行できる高度な構成ファイルを作成することも可能です。

Sysmon は、脅威ハンティングや Windows における持続的な問題の診断に非常に人気のあるツールですが、通常はデバイスごとに個別インストールが必要であり、管理が難しく、大規模な IT 環境でのカバレッジも低下します。

Sysmon が Windows にネイティブサポートされることで、ユーザーや管理者は Windows 11 の「オプション機能」設定ダイアログからインストールし、Windows Update を通じて新しいソフトウェア更新プログラムを直接受け取ることができるようになり、展開と管理が大幅に容易になります。

Microsoft によると、組み込み機能は、カスタム構成ファイルのサポートや高度なイベント フィルタリングを含む、Sysmon の標準的な機能セットを維持するとのことです。

インストール後、管理者は次のコマンドを使用して、コマンド プロンプトから基本的な監視を有効化できます。

sysmon -i

カスタム構成ファイルを使用した、より高度な監視を行うには、次のコマンドで展開できます。

sysmon -i <name_of_config_file>

たとえば、C:\ProgramData\ および C:\Users\ フォルダー配下で新しい実行ファイルが作成されたときにログを記録したい場合、次の構成ファイルを使用できます。

<Sysmon schemaversion="4.90">
  <!-- すべてのハッシュを取得 -->
  <HashAlgorithms>MD5,SHA256</HashAlgorithms>
  <EventFiltering>
    <!-- 実行ファイルの作成をログ -->
    <FileExecutableDetected onmatch="include">
    <TargetFilename condition="begin with">C:\ProgramData\</TargetFilename>
    <TargetFilename condition="begin with">C:\Users\</TargetFilename>
    </FileExecutableDetected>
  </EventFiltering>
</Sysmon>

これで、これらのディレクトリのいずれかに新しい実行ファイルが作成されると、以下のように Windows はそれをイベント ログに記録します。

Image
Sysmon イベント 29 – 実行ファイル検出
出典: BleepingComputer

Sysmon によって記録される、他の代表的なイベントには次のようなものがあります。

  • イベント ID 1 – プロセス作成: 不審なコマンドライン アクティビティの検出に有用。
  • イベント ID 3 – ネットワーク接続: アノマリ検知や C2 アクティビティのために送信接続を記録。
  • イベント ID 8 – プロセス アクセス: 資格情報ダンピング目的での LSASS へのアクセス試行を明らかにできる。
  • イベント ID 11 – ファイル作成: マルウェアのステージングでよく使われるスクリプト ファイル生成を追跡。
  • イベント ID 25 – プロセス改ざん: プロセス ホロウイングなどの回避手法の特定に役立つ。
  • イベント ID 20 & 21 – WMI イベント: WMI コンシューマーやフィルターを介した永続的なアクティビティを捕捉。

Microsoft はまた、来年、Sysmon の使用方法に関する包括的なドキュメントをついに公開し、新たなエンタープライズ管理機能や AI を活用した脅威検出機能も提供すると確認しています。

現時点では、環境で Sysmon をテストまたは展開したい場合、Sysinternals サイト上の個別ツールを使用し、SwiftOnSecurity による Sysmon 構成例を参照することで実施できます。

翻訳元: https://www.bleepingcomputer.com/news/microsoft/microsoft-is-bringing-native-sysmon-support-to-windows-11-server-2025/

ソース: bleepingcomputer.com
#AIによる脅威検出 #Microsoft #Sysinternals #Sysmon #Windows 11 #Windows Server 2025 #イベントログ監視 #エンタープライズIT管理 #セキュリティ監視 #プロアクティブ脅威ハンティング

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用