Microsoft は Windows 11 に Sysmon を密かに組み込んでおり、パワー ユーザーは注意を払う必要があります
<本文>
Windows の問題の 1 つは、Windows が常にバックグラウンドで正確に何をしているのかを知ることが常に難しいことです。アプリケーションを起動すると、私たちには見えないところで何が行われているのでしょうか?それはプロセスの生成、インターネットへの接続、またはあってはならないことの実行である可能性があり、それを判断するのは簡単ではありません。
特定のプロセスが何をしているのかを理解するためにイベント ビューアを何十回も開きましたが、すでに知っていること、または重要ではないことを伝える不可解な専門用語に遭遇します。 Windows は、ユーザーがログインしたことやプロセスが実行されたことなど、基本的な情報を通知します。それは素晴らしいことですが、プロセスが開始された後に何が行われていたかについては示されていません。
Sysmon は、Windows が答えてくれない質問に対する答えです。つまり、マシンで何が起こっているのか、何か心配すべきことはありますか?以前は手動でインストールする必要がありましたが、最終的に Windows 11 の一部として統合されたため、探す必要がなくなりました。
あなたの PC では実際に何が実行されているのでしょうか?
Sysmon が実際に記録するイベントの種類
Sysmon はバックグラウンドで静かに動作し、PC 上で起こっているすべての詳細なログを記録します。ほとんどの場合、何も興味深いことは起こりませんが、何か問題が発生した場合は、そのイベントに至るまでの詳細な記録を取得できます。アプリケーションが疑わしい接続を開始したり、プログラムが本来すべきでないことを実行したり、知らないうちに何かが自動的にインストールされたりした場合、Sysmon にはタイムスタンプ付きの記録が残ります。
キャプチャされる内容には、実行に使用された完全なコマンド コンテキストを含むプロセスの作成 (PowerShell が実行されたことだけを確認するのではなく、実行された正確なスクリプトが表示されます)、特定のプログラムに起因するネットワーク接続、機密性の高い場所で作成または変更されたファイル、あるプロセスによる別のプロセスへのアクセスの試みなどが含まれます。最後に、水面下で何が起こっているかを正確に確認するための組み込みの方法が組み込まれています。
Sysmon が実行されると、システム上のイベントのログが開始されます。 Sysmon には専用のユーザー インターフェイスはありませんが、レコードはイベント ビューアーに保存され、そこで表示できます。 Sysmon によって特に記録されたレコードは、「Microsoft」->「Windows」->「Sysmon」->「操作ログ」で表示できます。次のようなコマンドを使用して、ターミナルからクエリを実行することもできます。
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational"
この更新前に Sysinternals Web サイトから Sysmon のスタンドアロン バージョンをすでに使用していた場合は、組み込みバージョンに移行する前に必ずそれをアンインストールしてください。この 2 つが並行して実行すると衝突します。既定のバージョンを使用する利点の 1 つは、他のバージョンと同様に Windows Update を通じて更新プログラムを受信できるため、別のツールを維持する必要がなくなることです。
Microsoft は次に何を用意するのでしょうか?
さらなる靴角AI

Sysmon が Windows の一部であることに関する Microsoft の発表には、Sysmon のログを利用してデバイス上の疑わしいパターンにフラグを立てる AI を活用した脅威検出に関するティーザーも含まれていました。おそらく、これではクラウドにデータは送信されません。これまでの Microsoft の AI に関する実績を考慮すると、私は AI をツールに統合することには依然として懐疑的です。理論的には、ローカル モデルが異常な動作を検出し、それについて警告するので良さそうですが、その機能がドロップされるかどうかを確認する必要があります。
Sysmon が優れている理由の 1 つは、推測に頼ることなく、設定されたとおりに実行するだけであることです。 Microsoft がユーザーに AI レイヤーを監査し、詳細な制御で構成する方法を提供しない場合、検出ロジックに AI レイヤーを追加することは後退する可能性があります。適切なドキュメントとオフのスイッチも必要です。しかし、これは私たちが話しているマイクロソフトのことなので、私は息を止めているわけではありません。
Sysmon がこれまでよりも使いやすくなりました
電源を入れて構成を設定するだけです

2026 年 3 月の更新プログラムにより、Sysmon が Windows Home、Pro、Enterprise に導入されました。これを有効にするには、設定 > システム > オプション機能 > その他の Windows 機能 に移動し、Sysmon ボックスにチェックを入れて OK をクリックします。その後、昇格した権限で PowerShell を開き、sysmon-i を実行してセットアップを完了します。 Sysmon は XML 形式の構成ファイルも実行できます。独自に構築することも、SwiftOnSecurity の Sysmon 構成やそのフォークの 1 つなどをオンラインでダウンロードすることもできます。構成ファイルを使用するには、sysmon-i config.xml を実行するだけです。
多くのパワー ユーザーが Sysmon を気にしなかった主な理由は、追加のソフトウェアを手動でインストールする必要があるためでした。この機能が Windows に組み込まれたことで、より多くのユーザーがそのログ機能を利用し、システムの舞台裏で何が起こっているかをよりよく把握できるようになりました。
初めて Sysmon をオンにしようとしている場合は、まず構成ファイルを調べることをお勧めします。 Sysmon をデフォルトまたは広範な設定で実行すると、膨大な量のデータがログに記録され、使いにくくなるだけです。 SwiftOnSecurity のテンプレートは出発点として適しています。そのまま使用することも、独自に変更を加えることもできます。さまざまなオプションをすべて理解するには 1 時間かかるかもしれませんが、構成ファイルは XML なので読みやすいです。
伐採ギャップがついに埋まりました
Windows には長い間 Sysmon のようなものが必要でした。元々は 2014 年にリリースされましたが、デフォルトで Windows の一部となるのは 2026 年までかかりました。重要なのは、これが現在提供されており、無料で、使用している Windows 11 のどのエディションでも動作するということです。
*️⃣ 出典リンク:
いつでもバックグラウンドで実行されているイベント ビューア、Sysmon にはタイムスタンプ付きの記録があり、Microsoft の AI に関する実績、 SwiftOnSecurity の Sysmon config、パワー ユーザーは Sysmon を気にすることはありません、