#Windows :windows: integriert #Sysmon nativ | Security https://www.heise.de/news/Sysmon-wird-Windows-Bestandteil-11084871.html #Windows11 #WindowsServer2025 #Sysinternals #SysinternalsSuite

RE: https://infosec.exchange/@suricata/115583672707664579

Suricata events enriched with #sysmon process info = #Pikksilm. Based on experiences from the #LockedShields cyber battlefield. Definitely recommended to see that tool and presentation.

Also talk about #ICS , #modbus and datasets by @reverseics brings good ideas and examples of #suricata rules.

Microsoft is bringing Sysmon natively into Windows 11 & Windows Server 2025 - installable via Optional Features and updated through Windows Update.

Custom configs, advanced filtering, and the familiar event set (proc creation, file creation, tampering, WMI, network activity) all remain.

Docs + new enterprise management features are coming next year.

What’s your take on native Sysmon for enterprise visibility?

#Sysmon #infosec #windows11 #microsoftsecurity #blueteam #cybersecurity #threathunting #endpointsecurity

#Microsoft wird das #Admin-#Tool #Sysmon ab 2026 fest in #Windows11 integrieren. Der System-#Monitor soll dann offiziellen Support erhalten und einfach über die Windows-Funktionsverwaltung aktivierbar sein. https://winfuture.de/news,155054.html?utm_source=Mastodon&utm_medium=ManualStatus&utm_campaign=SocialMedia

https://winbuzzer.com/2025/11/18/microsoft-integrates-system-monitor-sysmon-into-windows-11-xcxwbn

Microsoft Integrates System Monitor (Sysmon) into Windows 11

#Windows11 #Sysmon #CyberSecurity #InfoSec #Microsoft #WindowsServer #Sysinternals #BlueTeam #ThreatHunting #EdgeAI #WindowsUpdate

Native #Sysmon functionality coming to #Windows11
https://www.elevenforum.com/t/native-sysmon-functionality-coming-to-windows-11.42146/

RT by @SwiftOnSecurity: This is huge news, #sysmon going native in Windows 11 next year.

https://techcommunity.microsoft.com/blog/windows-itpro-blog/native-sysmon-functionality-coming-to-windows/4468112

More cool stuff on custom logging coming this week. Watch this space 😎

🐦🔗: https://nitter.oksocial.net/olafhartong/status/1990818516245594195#m

[2025/11/18 16:24]

I'm not sure how accurate this is, but The Verge is reporting that #SysMon will be integrated into Windows 11 early next year.

This will be a massive win for #DFIR and #SecOps people everywhere if it's correct.

https://www.theverge.com/news/821948/microsoft-windows-11-ai-agents-taskbar-integration

⚠️ Sysmon oddity on a *fresh Windows install* 🤨

Spun up a clean server, and Sysmon instantly logged a CreateRemoteThread event.

No agents, no extra software — just Windows + Sysmon.

EventData shows “SourceImage: <unknown process>”.

Has anyone else seen this on clean builds? Is there a scenario or steps in using standard utilities that trigger CreateRemoteThread detection?

#Infosec #Sysmon #ThreatHunting #DFIR

New here, and honestly, I don’t expect much attention yet 😅

I’ve run into a few odd security and Sysmon findings that never got traction elsewhere
(learn.microsoft.com, Security StackExchange, etc.).

So I’m treating this space as a kind of public notebook, posting issues and observations in case someone else stumbles across the same weirdness one day.

#Infosec #Sysmon #Security

When a breach occurs, it’s too late to wish you’d configured your logs...

Incident responders can only work with what’s there. Our latest blog post, written by Nicole, breaks down which logs provide the best chance of understanding what really happened and how to configure them before you need them, so you can get back to business as usual swiftly.

📌Read here: https://www.pentestpartners.com/security-blog/the-logs-youll-wish-you-had-configured-if-when-you-are-breached/

#cybersecurity #incidentresponse #digitalforensics #sysmon #windowssecurity #infosec

RID Hijacking

Всем привет! Сегодня мы рассмотрим один из способов пост-эксплуатации Rid hijacking и посмотрим его артефакты.

https://habr.com/ru/articles/931990/

#RID_Hijacking #безопасность #windows #sysmon #event_viewer #poc #артефакты #blue_team #cybersecurity #rid

@alice
Did this asshole already exfiltrate our data needed or is he really feeling pressure?
@Kancept

#sysmon #logs# #DLP #DPI #DFIR #fuckdoge

Automating Sysmon installation and configuration with PowerShell http://dlvr.it/TJ6TbR via PlanetPowerShell #Sysmon #PowerShell #CyberSecurity #SystemMonitoring

Mastering Sysmon free DFIR e-book: https://dfirinsights.com/2024/11/27/mastering-sysmon-e-book-release/

#sysmon

Три слона, на которых держится логирование в Windows

Продолжаем наш цикл статей о типах и методах работы сборщиков данных с конечных точек, или, как принято их называть – агентов. В первой статье мы познакомились с этой сущностью и изучили основные нюансы сбора данных с их помощью. Так как мы в рамках разработки своих продуктов занимаемся и лог-менеджментом, и сбором событий, то хочется поделиться продолжением нашей обширной аналитики в quickstart формате. Поэтому в этом выпуске подробнее разберем функционал и используемые инструменты источников на ОС Windows.

https://habr.com/ru/companies/securityvison/articles/862352/

#Логирование #сбор_событий #eventlog #журналы_windows #журналы_событий #sysmon #event_tracing_for_windows #event_logging #event_log #etw

Использование портативного клиента Telegram, так ли незаметно?

Приветствую, Хабр! Мессенджеры являются незаменимым инструментом для общения в корпоративной среде, поскольку это быстро и удобно. Зачастую во многих компаниях сотрудники взаимодействуют не через корпоративные, а через общедоступные мессенджеры. Это увеличивает риски утечки информации , так как влечет за собой преднамеренное или непреднамеренное разглашение данных. В качестве меры предотвращения такой утечки компании, как правило, используют DLP системы (Data Loss Prevention) и другие способы мониторинга переписки. Одним из самых популярных мессенджеров, используемых в России и СНГ, является Telegram . Как показывает практика компаний, работающих с DLP, алгоритм определения клиента Telegram в системе несовершенен и обойти механизмы контроля, используя портативную версию, достаточно просто. Оценивая стоимость внедрения механизмов контроля и простоту их обхода, давайте попробуем ответить на вопрос: "По каким признакам можно понять, что используется Portable клиент Telegram?". Для анализа мы возьмем штатные средства мониторинга системы, а также журналы Sysmon . События журналов будем рассматривать в R-Vision SIEM, так как продукт позволяет обрабатывать все события в одном месте с удобными фильтрами и высокой производительностью.

https://habr.com/ru/companies/rvision/articles/844766/

#Telegram #portable #конфиденциальность #siem #sysmon #wineventlog #dlpсистемы #desktop

If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

#DFIR #LinuxForensics #SIEM #CSIRT

https://kostas-ts.medium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e

Given Sysmon is as configurable as a Baulders Gate 3 character, what config do you prefer for homelab use? I've been using the sysmon-modular repo but have also used SwitfOnSecurity's before that.

I've been wondering if I'm gathering enough telemetry when running atomic tests.

https://medium.com/@swathitadepalli/improving-windows-logging-visibility-in-elastic-12e2f6996e64

#Sysmon #Bluteam