Microsoft brengt Sysmon-functionaliteit standaard naar Windows 11 en Windows Server 2025. De beveiligingstool, voorheen onderdeel van Sysinternals, wordt geïntegreerd in het besturingssysteem zelf.

Microsoft kondigde in november 2025 al aan dat Sysmon-functionaliteit native beschikbaar zou komen in Windows. Nu rolt het bedrijf de feature uit naar Windows 11 Insider Preview Build 26220.7752. De tool blijft standaard uitgeschakeld en moet expliciet geactiveerd worden.

Sysmon monitort systeemactiviteit en schrijft gebeurtenissen weg naar de Windows event log. De tool helpt bij het detecteren van bedreigingen zoals credential theft en laterale bewegingen in netwerken. Securityteams gebruiken de gegenereerde data in SIEM-systemen voor analyse en detectie.

Einde aan operationele overhead

Voor veel IT-beheerders betekende Sysmon voorheen handmatig werk. Je moest binaries downloaden, configuraties uitrollen en updates consistent toepassen over duizenden endpoints. Dat introduceerde risico’s wanneer updates achterliepen. Bovendien ontbrak officiële support voor productiemgeving, wat extra onderhoudslast met zich meebracht.

De native integratie lost deze punten op. Updates komen automatisch binnen via Windows Update, terwijl compliance geautomatiseerd wordt.

Activeren en configureren

Gebruikers kunnen Sysmon inschakelen via Settings > System > Optional features > More Windows features, of via PowerShell met het commando ‘Dism /Online /Enable-Feature /FeatureName:Sysmon’. Na installatie start je de service met ‘sysmon -i’ via PowerShell of command prompt.

Wie al Sysmon van de Sysinternals-website heeft geïnstalleerd, moet deze overigens eerst verwijderen voordat de ingebouwde versie geactiveerd kan worden. De functionaliteit blijft verder ongewijzigd, inclusief ondersteuning voor custom configuratiebestanden.

De tool schrijft gebeurtenissen naar Applications and Services Logs / Microsoft/Windows/Sysmon/Operational. Sysmon analyseert geen events of genereert zelf alerts, maar levert de data aan voor interpretatie door SIEM-systemen. Sysmon biedt gedetailleerde inzichten die normaal niet zichtbaar zijn in standaard Windows-logs.

