TokyoBlackHatNews

bleepingcomputer.com 5分で読了

Microsoft、SysmonをWindows 11およびServer 2025に直接統合へ

Image

Microsoftは本日、来年にSysmonをWindows 11およびWindows Server 2025へネイティブ統合し、スタンドアロンのSysinternalsツールを展開する必要がなくなると発表しました。

「来年、Windows 11およびWindows Server 2025向けのWindowsアップデートによって、Sysmonの機能がWindowsにネイティブに組み込まれます」と、Sysinternalsの開発者であるMark Russinovichは発表の中で述べています。

「Sysmonの機能により、カスタム構成ファイルを使用して取得したイベントをフィルタリングできます。これらのイベントはWindowsイベントログに書き込まれ、セキュリティアプリケーションを含む幅広いユースケースを可能にします。」

Sysmon(System Monitor)は、悪意のある/不審なアクティビティを監視・ブロックし、そのイベントをWindowsイベントログに記録するよう構成できる、無料のMicrosoft Sysinternalsツールです。

デフォルトでは、Sysmonはプロセスの作成や終了といった基本的なイベントを監視します。しかし、より高度な構成ファイルを作成することで、プロセスの改ざんDNSクエリ実行ファイルの作成Windowsクリップボードの変更削除されたファイルの自動バックアップなど、より高度な挙動を監視・実行することが可能です。

Sysmonは、脅威ハンティングやWindowsにおける持続的な問題の診断に非常に人気のあるツールですが、通常はデバイスごとに個別インストールが必要であり、大規模なIT環境では管理が難しく、カバレッジも低下しがちです。

今回、SysmonがWindowsにネイティブ対応したことで、ユーザーや管理者はWindows 11の「オプション機能」設定ダイアログからインストールできるようになり、新しいソフトウェアアップデートもWindows Update経由で直接受け取れるため、展開と管理が大幅に容易になります。

Microsoftによると、組み込み機能はカスタム構成ファイルや高度なイベントフィルタリングのサポートを含む、Sysmonの標準的な機能セットを維持するとのことです。

インストール後、管理者はコマンドプロンプトから次のコマンドを使用して、基本的な監視を有効化できます。

sysmon -i

カスタム構成ファイルを用いた、より高度な監視を行うには、次のコマンドで展開できます。

sysmon -i <name_of_config_file>

たとえば、C:\ProgramData\ および C:\Users\ フォルダー配下で新しい実行ファイルが作成されたときにログを記録したい場合、次の構成ファイルを使用できます。

<Sysmon schemaversion="4.90">
  <!-- すべてのハッシュを取得 -->
  <HashAlgorithms>MD5,SHA256</HashAlgorithms>
  <EventFiltering>
    <!-- 実行ファイルの作成をログに記録 -->
    <FileExecutableDetected onmatch="include">
    <TargetFilename condition="begin with">C:\ProgramData\</TargetFilename>
    <TargetFilename condition="begin with">C:\Users\</TargetFilename>
    </FileExecutableDetected>
  </EventFiltering>
</Sysmon>

これで、これらのディレクトリのいずれかに新しい実行ファイルが作成されると、以下のようにWindowsがイベントログに記録します。

Image
Sysmon イベント 29 – 実行ファイルを検出
出典: BleepingComputer

Sysmonによってログに記録される、他の代表的なイベントには次のようなものがあります。

  • イベント ID 1 – プロセス作成: 不審なコマンドラインアクティビティの検出に有用。
  • イベント ID 3 – ネットワーク接続: アノマリ検知やC2アクティビティ向けに送信接続を記録。
  • イベント ID 8 – プロセスアクセス: 資格情報ダンピング目的でのLSASSへのアクセス試行を明らかにできる。
  • イベント ID 11 – ファイル作成: マルウェアのステージングでよく使われるスクリプトファイル生成を追跡。
  • イベント ID 25 – プロセス改ざん: プロセスホロウイングなどの回避テクニックの特定に役立つ。
  • イベント ID 20 & 21 – WMI イベント: WMI コンシューマーやフィルターを通じた永続的な活動を捕捉。

Microsoftはまた、来年中にSysmonの利用方法に関する包括的なドキュメントをついに公開するとともに、新たなエンタープライズ管理機能やAIを活用した脅威検出機能も提供することを明らかにしました。

現時点で、自身の環境でSysmonをテストまたは展開したい場合は、Sysinternals サイトから個別ツールを入手し、SwiftOnSecurity による Sysmon 構成例を確認することで実施できます。

翻訳元: https://www.bleepingcomputer.com/news/microsoft/microsoft-to-integrate-sysmon-directly-into-windows-11-server-2025/

ソース: bleepingcomputer.com
#AIによる脅威検出 #Microsoft #Sysinternals #Sysmon #Windows 11 #Windows Server 2025 #イベントログ監視 #エンタープライズIT管理 #セキュリティ監視 #プロアクティブ脅威ハンティング

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用