Un outil bien connu des professionnels de la cybersécurité débarque nativement dans Windows 11. Dans les dernières builds Insider, Sysmon devient une fonctionnalité système intégrée, activable en un clic. Une évolution qui simplifie nettement la vie des administrateurs et des équipes sécurité.
Les habitués de la suite Sysinternals connaissent bien Sysmon. Outil de journalisation avancée, il s’est imposé au fil des années comme une solution incontournable pour les équipes Blue Team, les analystes et les administrateurs système en quête de visibilité. Jusqu’ici, il fallait l’installer à la main et le configurer minutieusement. Avec les builds 26300.7733 (Dev) et 26220.7752 (Beta), Microsoft passe à l’étape suivante. Sysmon devient une fonctionnalité optionnelle de Windows 11, livrée avec le système. Une intégration native confirmée en fin d’année dernière, qui rapproche un peu plus Windows des exigences des environnements professionnels.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des logs plus riches que ceux par défaut
Dans les faits, l’ajout de Sysmon passe inaperçu. La fonctionnalité est désactivée par défaut, et il faut passer par les Paramètres > Système > Fonctionnalités facultatives > Plus de fonctionnalités Windows > Sysmon, ou PowerShell pour en tirer parti. À noter que si vous avez déjà installé manuellement une version de l’outil sur votre machine, il faudra la désinstaller pour basculer vers sa version intégrée.
Une fois activée, elle permet à Windows de générer des journaux d’activité bien plus détaillés que ceux du journal des événements classique. Processus lancés, connexions réseau, modifications critiques dans le registre, événements liés aux fichiers selon la configuration choisie… Sysmon observe en arrière-plan et consigne l’essentiel. C’est d’ailleurs ce niveau de précision qui en a fait un standard dans les environnements sensibles, en particulier lorsqu’il est couplé à un SIEM qui centralise, corrèle et exploite des journaux à grande échelle, ou à une solution de détection comportementale.
En l’intégrant au système, Microsoft entend évidemment simplifier son déploiement dans les parcs d’entreprise. Plus besoin de télécharger l’exécutable depuis la suite Sysinternals, ni de gérer son installation via des scripts ou des GPO (stratégies de groupe permettant d’automatiser la configuration des postes en entreprise). Il reste toutefois indispensable de fournir un fichier de configuration adapté, pour sélectionner les événements pertinents, puisque mal configuré, Sysmon peut rapidement générer un volume de données difficile à analyser, au détriment de toute visibilité utile.
Un outil d’observation pour pros, pas une protection en temps réel
À toutes fins utiles, on rappellera que Sysmon n’est pas un antivirus, ni même un outil de réponse automatisée. Il ne bloque rien, ne déclenche aucune alerte à lui seul et ne propose pas d’interface conviviale. Son rôle est purement passif : enregistrer des événements système pour faciliter l’analyse a posteriori.
Mais bien utilisé, et entre de bonnes mains, il peut s’avérer précieux. Il permet par exemple d’identifier l’exécution d’un script malveillant, de suivre une tentative de persistance ou de retracer les actions d’un malware déjà présent sur la machine.
Pour un usage grand public, l’intérêt est plus limité. Activer Sysmon sur un poste personnel n’a de sens que si l’on sait quoi en faire, et surtout si l’on dispose d’outils capables d’exploiter les journaux générés.
Source : Microsoft
