Microsoft เริ่มเปิดตัวฟังก์ชัน Sysmon ที่มาพร้อมกับระบบปฏิบัติการสำหรับระบบ Windows 11 บางระบบที่ลงทะเบียนในโปรแกรม Windows Insider Sysmon เป็นเครื่องมือฟรีจาก Microsoft Sysinternals ที่ใช้สำหรับตรวจสอบและบล็อกกิจกรรมที่เป็นอันตราย/น่าสงสัย รวมถึงบันทึกเหตุการณ์เหล่านี้ลงใน Windows Event Log เพื่อช่วยในการตรวจจับภัยคุกคาม
Severity: ต่ำ
System Impact:
- Windows 11 (สำหรับผู้ใช้ที่เข้าร่วมโปรแกรม Windows Insider)
- Windows 11 Preview Build 26220.7752 (KB5074177) ใน Beta Channel
- Windows 11 Preview Build 26300.7733 (KB5074178) ใน Dev Channel
Technical Attack Steps:
Recommendations:
Short Term:
- สำหรับผู้ใช้ Windows Insider: ถอนการติดตั้ง Sysmon เวอร์ชันที่ติดตั้งด้วยตนเองออกก่อนที่จะเปิดใช้งาน Sysmon ที่มาพร้อมกับระบบ
- เปิดใช้งาน Sysmon ผ่าน Settings > System > Optional features > More Windows features โดยเลือก Sysmon หรือใช้คำสั่ง PowerShell/Command Prompt: Dism /Online /Enable-Feature /FeatureName:Sysmon ตามด้วย sysmon -i
Long Term:
- ติดตามข่าวสารการเปิดตัว Sysmon ในตัวสำหรับ Windows 11 และ Windows Server เวอร์ชันเสถียรในวงกว้าง
- วางแผนการผสานรวม Sysmon เข้ากับระบบ SIEM (Security Information and Event Management) หรือเครื่องมือ Threat Hunting ขององค์กร เพื่อเสริมสร้างความสามารถในการตรวจจับและตอบสนองต่อภัยคุกคาม
- พัฒนาและใช้ไฟล์คอนฟิกูเรชันที่กำหนดเองสำหรับ Sysmon เพื่อตรวจสอบเหตุการณ์ความปลอดภัยที่สำคัญและเกี่ยวข้องกับบริบทขององค์กร
Share this content: