Sysmon integrado de serie: la legendaria herramienta de monitorización de procesos pasa a formar parte de Windows
Windows 11 y Windows Server 2025 incorporarán una herramienta integrada para detectar y atrapar ciberatacantes.
En Windows aparecerá soporte integrado para Sysmon, y eso cambia notablemente el trabajo con la seguridad. Las funciones que durante mucho tiempo requirieron la instalación de una herramienta independiente pasarán a formar parte del sistema y estarán disponibles sin preparación de la infraestructura. Este enfoque reduce el tiempo de respuesta ante amenazas y alivia la carga de los administradores.
Sysmon se ha utilizado durante mucho tiempo para rastrear la actividad de procesos, las conexiones de red y los intentos de acceso a componentes críticos. Sus eventos ayudan a detectar el robo de credenciales, el movimiento lateral oculto dentro de la red y las huellas de ataques complejos. Ahora estos datos llegarán directamente a los registros del sistema de Windows.
Las actualizaciones de Windows 11 y Windows Server 2025 el próximo año incluirán el conjunto completo de funciones de Sysmon. Los archivos de configuración seguirán pudiéndose aplicar para filtrar eventos, lo que da a las empresas control sobre el volumen de información de diagnóstico.
Ya no será necesario instalar y mantener archivos binarios independientes. Sysmon se actualizará mediante el mecanismo estándar de Windows Update, lo que reduce los riesgos de versiones obsoletas y errores en el despliegue manual.
También habrá soporte oficial. Antes Sysmon seguía siendo una herramienta útil pero, de hecho, no respaldada. Ahora su integración en el sistema significa atención de servicio al mismo nivel que otros componentes de seguridad.
La activación de la función se realizará a través de los parámetros estándar de Windows. Para activarla basta habilitar el componente y ejecutar un comando sencillo en la consola. Después de eso, el servicio comenzará a funcionar con la configuración predeterminada.
Los eventos estarán disponibles en el registro Microsoft Windows Sysmon Operational. Esto permitirá conectarlos a SIEM, herramientas de monitorización y sistemas analíticos sin acciones adicionales.
Entre los tipos de eventos clave permanecen la creación de procesos, las conexiones de red, el acceso a áreas sensibles de la memoria, la creación de archivos, la intervención en procesos y las actividades de WMI. Este conjunto cubre una amplia gama de amenazas y escenarios de investigación.
Microsoft vincula la novedad con la iniciativa Secure Future Initiative, orientada a reducir la complejidad de la protección y a aumentar la transparencia de los sistemas. Los datos de diagnóstico ampliados se convierten en una función básica, no en una opción.
La empresa planea añadir en el futuro gestión centralizada y capacidades de análisis en el dispositivo apoyadas en modelos de IA locales. Esto acelerará la detección de acciones sospechosas y reducirá el tiempo de permanencia del atacante en la red.
El lanzamiento de las actualizaciones está previsto para el próximo año. Se recomienda a los usuarios revisar las plantillas de configuración en GitHub, probar las capacidades en los eventos de Microsoft y enviar comentarios. La integración de Sysmon en Windows abre el camino hacia una protección más flexible y resistente en infraestructuras de gran escala.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla