Microsoft a commencé nativement à intégrer la fonctionnalité de Sysmon dans certaines installations Windows 11 dans le programme Windows Insider. Il s'agit d'un changement pertinent : au lieu de s'appuyer uniquement sur la version indépendante que les administrateurs installent manuellement à partir de Sysinternals, une partie de cette télémétrie avancée peut maintenant être activée directement à partir du système d'exploitation lui-même.
Pour ceux qui ne le savent pas, Sysmon - abréviation de System Monitor - fait partie de la suite Sysinternals et est un outil largement utilisé par les équipes de sécurité et les administrateurs pour enregistrer et détecter les comportements suspects sur les machines Windows. Lorsqu'il est configuré, il capture les événements qui vont au-delà des enregistrements système de base : création et achèvement de processus, changements dans les fichiers exécutables, manipulations de processus, modifications de presse-papiers et autres signaux qui aident à enquêter sur les incidents ou à faire la chasse aux menaces. Ces événements sont écrits dans le journal des événements de Windows, qui leur permet d'être intégrés aux solutions IMS et autres outils d'analyse. Plus d'informations sur l'outil original est disponible sur la page officielle Sysinternals: Sysmon dans Microsoft Apprendre.
Jusqu'à présent, l'une des principales frictions a été son déploiement à grande échelle: Sysmon est installé séparément sur chaque équipe, et la gestion de sa configuration sur des centaines ou des milliers d'appareils nécessite des politiques et des processus supplémentaires. En fournissant une capacité similaire intégrée dans Windows 11, Microsoft vise à faciliter les organisations pour permettre une telle télémétrie sans installations manuelles, bien que pour l'instant la fonction vient comme une fonctionnalité facultative pour les évaluateurs.
Microsoft a communiqué la disponibilité initiale de cette fonctionnalité aux participants du programme Windows Insider, indiquant que les capacités de Sysmon seront disponibles en option dans certaines compilations précédentes. Les initiés sur les canaux Beta et Dev qui ont mis à jour à l'aperçu spécifié Builds peuvent déjà voir l'option. Les annonces officielles avec les détails de ces compilations ont été publiées sur le blog du programme Windows Insider: annonce pour Beta et annonce pour Dev.
Il est important de souligner que la fonctionnalité intégrée n'est pas activée par défaut. Les utilisateurs ou les administrateurs devraient le rendre explicitement disponible. Microsoft recommande également de supprimer toute installation antérieure de Sysmon obtenue du web avant d'activer la version qui vient avec Windows, pour éviter les conflits. Une fois activée, la fonction vous permet d'utiliser des fichiers de configuration personnalisés pour filtrer les événements que vous souhaitez collecter, ce qui est essentiel pour réduire le bruit et se concentrer sur les signaux pertinents à la détection des menaces.
Le processus d'activation peut être fait à partir de l'interface de configuration Windows, à la recherche des fonctionnalités optionnelles du système, ou en utilisant des outils en ligne de commande comme DISM. Après avoir activé la fonctionnalité, l'installation est complétée par la même commande que Sysmon utilise traditionnellement pour initialiser. Si vous préférez consulter la documentation technique sur les outils et fonctions de gestion d'image de Windows, la documentation DISM dans Microsoft Learn est un bon point de départ: Documents du Département.
En plus de faciliter le déploiement, l'intégration autochtone a des implications pratiques. Pour les équipes de sécurité, il s'agit d'une occasion d'homogénéiser la capture d'événements dans des environnements gérés, de réduire la dépendance à l'égard des installations manuelles et de réduire potentiellement la barrière d'entrée pour les petites et moyennes organisations qui n'ont pas d'ingénierie dédiée au déploiement d'outils Sysinternes. Cependant, il soulève également des questions sur le contrôle, la protection des renseignements personnels et la gestion du cycle de vie : les organisations devraient examiner comment les configurations Sysmon intégrées seront gérées au moyen de politiques de groupe, de MDM ou d'autres plateformes de gestion.
Plusieurs médias spécialisés ont déjà couvert la nouveauté et offrent un contexte supplémentaire sur l'arrivée de Sysmon intégré et son impact: par exemple, une revue des nouvelles et des recommandations pratiques sur Calculateur et l'analyse technique sur les sites de sécurité informatique. Pour que la planification de l'équipement adopte la fonctionnalité, il convient de tester d'abord dans des environnements contrôlés, de définir des modèles de configuration et de valider que les enregistrements sont envoyés correctement aux outils d'analyse centralisés.
Parallèlement à cette intégration, Microsoft continue de tester les changements dans les politiques de gestion des appareils: le mois dernier, il a commencé à tester une nouvelle politique qui permettrait aux gestionnaires de désinstaller Copilot d'équipement géré, ce qui montre que l'entreprise continue à affiner les options de contrôle pour les environnements d'entreprise. Il est recommandé de suivre les annonces officielles et les notes de version du programme Insider pour ceux qui gèrent l'infrastructure Windows : en plus du blog du programme, les pages de documentation et les notes de lancement sont les sources les plus fiables pour planifier les changements de production.
En bref, l'incorporation de la fonctionnalité de Sysmon directement dans Windows 11 représente une évolution logique pour faciliter la capture de télémétrie avancée sur les appareils Windows. C'est une bonne nouvelle pour les équipements de sécurité et d'administration qui cherchent à simplifier les déploiements, mais nécessite une planification : valider les configurations, assurer la compatibilité avec les processus de gestion et comprendre les implications opérationnelles avant d'adopter la fonctionnalité sur une échelle.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...