Microsoft integra Sysmon nativo ao Windows 11 (Insider Build) | Cloud

A Microsoft passou a oferecer o Sysmon como recurso nativo no Windows 11 Insider Preview (build 26300.7733, KB5074178). A funcionalidade vem desativada por padrão, exige desinstalar a versão legada e permite configuração via XML; grava eventos no Windows Event Log para integração com SIEMs.

A Microsoft começou a integrar o utilitário Sysmon (System Monitor) diretamente no Windows 11 na build Insider Preview 26300.7733 (KB5074178), tornando a telemetria granular mais acessível sem a necessidade de instalação do pacote Sysinternals.

O que mudou

De acordo com a apuração publicada pelo Cyber Security News, o recurso reúne a funcionalidade central do Sysmon — captura de eventos como criação de processos, conexões de rede e alterações de carimbo de tempo de arquivos — e escreve esses registros no Windows Event Log, mantendo compatibilidade com soluções de SIEM e outras ferramentas de segurança.

Como ativar e limitações iniciais

A Microsoft adotou uma postura "secure by default": o recurso integrado vem desativado por padrão e requer ação explícita do administrador para habilitação. A publicação lista dois métodos de ativação:

Interface gráfica: Configurações > Sistema > Recursos opcionais > Mais recursos do Windows e marcar "Sysmon".
Linha de comando / automação: uso do DISM, por exemplo Dism /Online /Enable-Feature /FeatureName:Sysmon, seguido da instalação do serviço com sysmon -i.

O texto também destaca que o Sysmon nativo aceita arquivos de configuração XML personalizados para filtrar eventos e reduzir ruído de logs.

Compatibilidade com versões legadas

A Microsoft advertiu que o Sysmon legado, obtido separadamente do site Sysinternals, deve ser desinstalado antes de habilitar a versão integrada para evitar conflitos. A publicação remete à nota do blog Windows Insider que acompanha a build.

Impacto para equipes de SOC e IR

A integração nativa reduz barreiras administrativas para adoção de telemetria avançada em endpoints Windows, o que pode acelerar detecção e resposta a ameaças sem depender de downloads externos. Para equipes de IR e hunt, isso significa disponibilidade potencialmente mais ampla de eventos de baixo nível, desde que a feature seja habilitada e configurada adequadamente.

Evidências, riscos e pontos a observar

A publicação informa o número da build (26300.7733) e o KB (KB5074178); trata‑se de uma entrega ao canal Dev do Windows Insider — não é uma atualização que já esteja em produção para todas as empresas.
O recurso está desativado por padrão; portanto, organizações não terão telemetria adicional sem a ativação administrativa.
Equipes que já usam o Sysmon standalone devem planejar desinstalação ordenada antes de habilitar a opção integrada, para evitar conflitos.

Recomendações práticas

Com base nas informações divulgadas:

planeje testes em um grupo piloto antes de habilitar a função em larga escala, validando templates XML de filtro para evitar explosão de logs;
coordene com provedores de SIEM e EDR para garantir ingestão e parse corretos dos eventos emitidos pelo Sysmon nativo;
documente o procedimento de transição do Sysmon standalone para a versão integrada, incluindo rollback e verificação de conflito.

Fonte da matéria: Cyber Security News, que cita o anúncio no Windows Insider Blog. A reportagem traz comandos e instruções disponibilizadas pela Microsoft na nota que acompanha a build; detalhes adicionais operacionais ou requisitos corporativos específicos devem ser confirmados em ambiente de teste.