System Monitor (Sysmon) est un service système Windows et un pilote de périphérique qui, une fois installé sur un système, reste résident lors des redémarrages du système pour surveiller et consigner l'activité du système dans le journal des événements Windows. Il fournit des informations détaillées sur les créations de processus, les connexions réseau et les modifications apportées à l'heure de création des fichiers. En collectant les événements qu'il génère à l'aide des agents Windows Event Collection ou SIEM, puis en les analysant, vous pouvez identifier les activités malveillantes ou anormales et comprendre comment les intrus et les logiciels malveillants opèrent sur votre réseau. Microsoft vient d'annoncer la disponibilité de Sysmon 15. Cette version vient avec deux nouveautés majeures.

Tout d'abord Sysmon devient un processus protégé. Le concept de service protégé a été introduit avec Windows 8.1. Lorsqu'un service est lancé en tant que service protégé, Windows utilise l'intégrité du code pour autoriser uniquement le chargement du code de confiance dans le service protégé. Windows protège également ces processus contre l'injection de code et d'autres attaques des processus d'administration.

Ensuite, Sysmon 15 vient avec l'option de configuration "FileExecutableDetected" qui permet de détecter la création de fichiers exécutables sur le périphérique surveillé.

Sysmon 15 est un utilitaire gratuit qui peut être téléchargé à partir de sa page de documentation.

Il existe une version Linux de Sysmon. Il s'agit d'un logiciel libre sous licence MIT disponible sur GitHub.