Microsoft mengumumkan bahwa Sysmon—alat pemantauan sistem populer dari paket Sysinternals—akan diintegrasikan langsung ke Windows 11 dan Windows Server 2025 mulai tahun depan. Integrasi ini menghilangkan kebutuhan untuk memasang Sysmon sebagai alat terpisah, sehingga mempermudah deployment dan manajemen di lingkungan perusahaan.
Sysmon Kini Menjadi Fitur Bawaan Windows
Menurut penciptanya, Mark Russinovich, Sysmon akan hadir sebagai fitur opsional yang dapat diaktifkan melalui menu Optional features di Windows. Setelah terpasang, pembaruan Sysmon akan dikirim langsung melalui Windows Update, memberikan cakupan pemantauan yang lebih konsisten di seluruh perangkat.
Sysmon (System Monitor) adalah utilitas keamanan lanjutan yang memungkinkan pengguna memantau aktivitas sistem dan mencatatnya ke Windows Event Log. Dengan konfigurasi yang tepat, Sysmon dapat digunakan untuk mendeteksi aktivitas mencurigakan, melakukan threat hunting, dan mendiagnosis masalah persisten pada Windows.
Fitur Sysmon Tetap Utuh — Kini Lebih Mudah Dikelola
Walaupun terintegrasi native, Sysmon tetap mempertahankan seluruh fitur utamanya, termasuk:
- Dukungan penuh untuk file konfigurasi kustom
- Filter event tingkat lanjut
- Monitoring detail aktivitas sistem
Secara default, Sysmon mencatat aktivitas dasar seperti pembuatan dan penghentian proses. Namun melalui konfigurasi lanjutan, admin dapat memonitor perilaku yang jauh lebih spesifik, seperti:
- Query DNS
- Pembuatan file executable
- Perubahan clipboard
- Percobaan process tampering
- Pencadangan otomatis file yang dihapus
Sysmon telah lama menjadi alat penting bagi analis keamanan dan tim IT, tetapi sebelumnya harus dipasang satu per satu di setiap perangkat. Integrasi langsung di Windows akan meningkatkan cakupan monitoring secara signifikan dalam skala enterprise.
Cara Mengaktifkan Sysmon di Windows
Setelah tersedia, admin dapat menginstal Sysmon melalui fitur opsional Windows, kemudian mengaktifkannya via Command Prompt:
Untuk monitoring dasar:
sysmon -i
Untuk konfigurasi kustom:
sysmon -i <nama_file_konfigurasi>
Microsoft memberikan contoh konfigurasi untuk memantau pembuatan file executable di direktori ProgramData dan Users, yang kemudian akan ditulis sebagai Event ID 29 di Event Log.
Event Penting yang Dicatat Sysmon
Beberapa event favorit para analis keamanan meliputi:
- Event ID 1 – Process Creation: memantau aktivitas proses yang berpotensi mencurigakan
- Event ID 3 – Network Connection: untuk mendeteksi koneksi outbound anomali atau C2
- Event ID 8 – Process Access: membantu mengidentifikasi upaya pengambilan credential melalui LSASS
- Event ID 11 – File Creation: sering digunakan untuk mendeteksi staging malware
- Event ID 25 – Process Tampering: melacak teknik penghindaran seperti process hollowing
- Event ID 20 & 21 – WMI Events: memantau persistensi melalui WMI
Dokumentasi dan Fitur Enterprise Baru
Microsoft juga mengonfirmasi bahwa dokumentasi lengkap Sysmon akan tersedia tahun depan. Selain itu, perusahaan akan menambahkan kemampuan manajemen enterprise dan fitur deteksi ancaman berbasis AI untuk meningkatkan pemanfaatan Sysmon di organisasi berskala besar.