Microsoft встроила Sysmon в Windows 11

Microsoft quietly превратила Sysmon из утилиты для энтузиастов в встроенную часть Windows 11, и это заметно меняет привычный баланс сил между «я что-то запустил» и «я понимаю, что именно произошло». Теперь у power users есть штатный способ смотреть, какие процессы стартуют, к каким сетям они лезут и что делают с файлами, без охоты за отдельным установщиком.

Для Windows 11 это редкий случай полезной встроенной функции, а не очередной панели с подсказками про ИИ. Ирония в том, что инструмент, который должен был десятилетиями существовать по умолчанию, добрался до Windows 11 только сейчас, когда пользователи уже привыкли считать телеметрию нормой, а прозрачность — роскошью.

Что именно пишет Sysmon

Sysmon не рисует красивый интерфейс и не пытается «упростить» вам жизнь — он просто пишет подробный журнал событий. В лог попадают создание процессов с полным контекстом командной строки, сетевые подключения конкретных программ, изменения файлов в чувствительных местах и попытки одного процесса залезть в другой.

Это как раз тот уровень детализации, которого долго не хватало встроенным средствам Windows. Обычный Event Viewer сообщает, что пользователь вошёл в систему или процесс запустился, но не отвечает на самый важный вопрос: что этот процесс делал после старта. На фоне растущего количества скрытых автозагрузок, подозрительных соединений и «безобидных» утилит, которые ведут себя слишком активно, такой журнал — не игрушка, а инструмент расследования.

Как включить Sysmon в Windows 11

По данным материала, в March 2026 update Sysmon появился в Windows Home, Pro и Enterprise. Включается он через «Settings > System > Optional Features > More Windows Features», где нужно поставить галочку у Sysmon, а затем завершить настройку из PowerShell с правами администратора командой sysmon -i.

Для тех, кто уже жил со standalone-версией Sysmon из Sysinternals, есть важная мелочь с характером Windows: старую установку лучше удалить, иначе компоненты будут конфликтовать. После этого журнал Sysmon можно смотреть в Event Viewer по пути «Microsoft -> Windows -> Sysmon -> Operational», а также вытягивать из терминала через Get-WinEvent -LogName «Microsoft-Windows-Sysmon/Operational».

Что Microsoft добавит поверх журнала

Microsoft уже намекнула на AI-powered threat detection, которая будет использовать логи Sysmon для поиска подозрительных шаблонов прямо на устройстве, без отправки данных в облако. Идея звучит неплохо, особенно если она останется локальной, но у компании богатая история превращать полезные функции в непрозрачные механизмы с туманными настройками.

Здесь многое упрётся в контроль. Sysmon ценят именно за предсказуемость: он делает ровно то, что вы задали в конфиге, без угадываний и «умных» интерпретаций. Если Microsoft действительно обернёт это в слой ИИ, пользователям понадобятся аудит, тонкая настройка и выключатель — иначе встроенный инструмент рискует снова стать не инструментом, а демонстрацией пиар-оптимизма.

Практический совет тоже простой: не включайте Sysmon наугад с дефолтными настройками. Шум от логов будет таким, что полезные события утонут в потоке мусора, поэтому лучше сразу взять готовый XML-конфиг вроде шаблона SwiftOnSecurity и подогнать его под свои задачи. Интереснее всего будет посмотреть, даст ли Microsoft тем, кто уже использует Sysmon всерьёз, достаточно свободы, или начнёт аккуратно «улучшать» то, что и так хорошо работало.