Sysmonのネイティブ統合を発表
Microsoftは、Windows 11およびWindows Server 2025に対し、Sysmon (System Monitor) をネイティブ機能として統合すると発表しました。これにより、来年にもWindowsアップデートを通じてSysmonの機能が提供されることになります。Sysinternalsの生みの親であるマーク・ルシノビッチ氏が明らかにしたもので、スタンドアロンツールとしてのデプロイが不要になるなど、大きな変更点が含まれています。
Sysmonとは?
Sysmonは、Microsoft Sysinternalsが提供する無料のシステム監視ツールです。悪意のある活動や疑わしい活動を監視し、Windowsイベントログに記録するよう設定できます。デフォルトではプロセスの作成や終了といった基本的なイベントを監視しますが、カスタム構成ファイルを使用することで、より高度な監視を行うことが可能です。
ネイティブ統合によるメリット
これまで個別にインストールが必要だったSysmonがWindowsにネイティブ統合されることで、ユーザーと管理者には複数のメリットがもたらされます。
- デプロイと管理の簡素化: 個別のツールとして展開する必要がなくなり、大規模なIT環境での管理が容易になります。
- Windows Update経由の更新: 今後、Sysmonのソフトウェア更新はWindows Updateを通じて直接提供されるため、常に最新の状態を保ちやすくなります。
- 「オプション機能」からのインストール: Windows 11の「オプション機能」設定ダイアログから簡単にインストールできるようになります。
Microsoftは、この組み込み機能が、既存のSysmonが持つ標準機能セット、特にカスタム構成ファイルと高度なイベントフィルタリングのサポートを維持すると明言しています。
Sysmonの主要機能と活用例
Sysmonは、その高度な監視能力から、脅威ハンティングやWindowsにおける永続的な問題の診断において非常に人気のあるツールです。カスタム構成ファイルを使用することで、以下のような詳細な監視が可能です。
- プロセスの改ざん
- DNSクエリ
- 実行可能ファイルの作成
- Windowsクリップボードの変更
- 削除されたファイルの自動バックアップ
インストール後、管理者はコマンドプロンプトから以下のコマンドでSysmonを有効にできます。
- 基本的な監視の場合:
sysmon -i - カスタム構成ファイルを使用する場合:
sysmon -i <設定ファイル名>
例えば、C:\ProgramData\ および C:\Users\ フォルダ以下で新しい実行可能ファイルが作成された場合にログを記録したい場合、以下の構成ファイルを使用できます。
<Sysmon schemaversion="4.90">
<!-- すべてのハッシュをキャプチャ -->
<HashAlgorithms>MD5,SHA256</HashAlgorithms>
<EventFiltering>
<!-- 実行可能ファイルの作成をログに記録 -->
<FileExecutableDetected onmatch="include">
<TargetFilename condition="begin with">C:\ProgramData\</TargetFilename>
<TargetFilename condition="begin with">C:\Users\</TargetFilename>
</FileExecutableDetected>
</EventFiltering>
</Sysmon>
主要なSysmonイベントID
Sysmonがログに記録するイベントの中でも、特に重要なイベントIDとその用途を以下に示します。
- イベントID 1 – プロセス作成: 不審なコマンドライン活動の検出に有用。
- イベントID 3 – ネットワーク接続: 異常検出やC2活動のためのアウトバウンド接続をログ記録。
- イベントID 8 – プロセスアクセス: 資格情報ダンプのためのLSASSへのアクセス試行を露呈。
- イベントID 11 – ファイル作成: マルウェアステージングによく使用されるスクリプトファイルの生成を追跡。
- イベントID 25 – プロセス改ざん: プロセスホローイングやその他の回避技術の特定に役立つ。
- イベントID 20 & 21 – WMIイベント: WMIコンシューマーやフィルターを介した永続的活動を捕捉。
今後の展望
Microsoftは、来年中にSysmonの使用に関する包括的なドキュメントを公開するほか、新しいエンタープライズ管理機能やAIを活用した脅威検出機能も導入する予定であることを明らかにしました。これにより、Sysmonはより強力なセキュリティツールへと進化することが期待されます。現在Sysmonを試用または展開したい場合は、引き続きSysinternalsサイトの個別ツールを利用できます。