Η Microsoft φέρνει εγγενές το Sysmon στα Windows ως feature, με ενημερώσεις μέσω Windows Update

Η Microsoft προχωρά σε ένα πρακτικό βήμα για ομάδες IT και ασφάλειας, φέρνοντας native Sysmon functionality στα Windows ως Windows Feature. Στόχος, σύμφωνα με την εταιρεία, είναι να μειωθεί η τριβή στο deployment και να περιοριστεί ο λειτουργικός κίνδυνος που δημιουργεί η χειροκίνητη διανομή και συντήρηση του εργαλείου σε μεγάλους στόλους endpoints, με updates που πλέον ακολουθούν το μηνιαίο servicing των Windows.

Η λειτουργικότητα εμφανίστηκε στα Windows 11 Insider Dev και Beta κανάλια, μέσω των builds 26300.7733 (Dev, KB5074178) και 26220.7752 (Beta, KB5074177), που δημοσιεύτηκαν στις 3 Φεβρουαρίου 2026. Το Sysmon (System Monitor) παραμένει απενεργοποιημένο από προεπιλογή και ενεργοποιείται ως Optional Feature, κάτι που το φέρνει πιο κοντά σε “enterprise” τρόπο διαχείρισης, ειδικά όταν μιλάμε για χιλιάδες συστήματα.

Το Sysmon κυκλοφόρησε το 2014 και έχει καθιερωθεί ως ένα από τα πιο χρήσιμα εργαλεία telemetry για ανίχνευση επιθέσεων και forensics στα Windows. Με configuration αρχείο μπορεί να καταγράφει “πλούσια” συμβάντα, από process creation μέχρι network activity, ώστε να γίνονται correlation και detections σε SIEM και security εργαλεία. Η Microsoft σημειώνει ότι τα συμβάντα καταλήγουν στα Windows event logs, συγκεκριμένα στο Applications and Services Logs, Microsoft, Windows, Sysmon, Operational.

Μέχρι τώρα, η υιοθέτηση του Sysmon σε enterprise περιβάλλον συχνά “κολλούσε” σε τρία σημεία: διανομή, έλεγχος εκδόσεων, και συνέπεια στο update cadence. Στο Windows IT Pro blog, η Microsoft αναγνωρίζει ότι το εργαλείο δεν είχε επίσημη υποστήριξη production για όλους, και ότι η μεταφορά του σε native feature μειώνει τον λειτουργικό κίνδυνο, επειδή οι διορθώσεις και οι νέες δυνατότητες φτάνουν μέσω των μηνιαίων Windows updates.

Για τους admins υπάρχει και μια “παγίδα” που αξίζει να ειπωθεί καθαρά: το Sysmon μπορεί να παράγει πολύ υψηλό όγκο logs. Σε περιβάλλον SIEM, ένα πολύ “ανοιχτό” config ανεβάζει κόστος ingest και θόρυβο στα detections. Πρακτικά, οι περισσότεροι ξεκινούν από έτοιμα community templates και τα προσαρμόζουν, ώστε να έχουν “χρήσιμα” σήματα, χωρίς να πνίγονται σε events.

Η Microsoft σημειώνει ότι, αν υπάρχει ήδη εγκατεστημένο standalone Sysmon από το Sysinternals, πρέπει πρώτα να απεγκατασταθεί πριν ενεργοποιηθεί η built-in έκδοση. Έπειτα, το feature ενεργοποιείται είτε από Settings, System, Optional features, More Windows features, επιλέγοντας “Sysmon”, είτε από γραμμή εντολών με:

Dism /Online /Enable-Feature /FeatureName:Sysmon

Για να ολοκληρωθεί η εγκατάσταση και να ξεκινήσει η υπηρεσία με προεπιλεγμένη διαμόρφωση, εκτελείται:

sysmon -i

Η ενσωμάτωση εντάσσεται στο Secure Future Initiative (SFI) και, σε αντίθεση με το “AI παντού” αφήγημα, είναι ένα καθαρά επιχειρησιακό μέτρο: καλύτερο telemetry, πιο προβλέψιμο servicing, λιγότερη τριβή στο deployment. Η Microsoft αναφέρει επίσης ότι αυτό είναι μόνο η αρχή και μιλά για μελλοντικές επενδύσεις όπως enterprise-scale management και AI powered inferencing πάνω στα σήματα του Sysmon.

• Native Sysmon functionality coming to Windows (Windows IT Pro Blog, Microsoft Tech Community)
• Announcing Windows 11 Insider Preview Build 26300.7733 (Dev Channel) (Windows Insider Blog)
• Announcing Windows 11 Insider Preview Build 26220.7752 (Beta Channel) (Windows Insider Blog)
• Microsoft does something useful, adds Sysmon to Windows (The Register)