TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Sysmon เป็นระบบให้บริการของ Windows และไดรฟเวอร์ของอุปกรณ์ ที่เมื่อทำการติดตั้งลงบนเครื่องคอมพิวเตอร์แล้ว จะฝังตัวอยู่ใน System Reboot เพื่อคอยติดตามและบันทึกข้อมูลการใช้งานต่างๆลงบน Windows Event Log
Sysmon จะจัดเก็บบันทึกข้อมูลอย่างละเอียดเกี่ยวกับ Process, Network, การเชื่อมต่อและการเปลี่ยนแปลงของไฟล์ข้อมูล เมื่อรวบรวมข้อมูลเหล่านี้ผ่านทาง Windows Event Collection หรือ SIEM Agent ทำให้ผู้ดูแลระบบสามารถตรวจสอบและวิเคราะห์ข้อมูลเพื่อระบุพฤติกรรมที่ผิดปกติ หรือน่าสงสัยได้ รวมทั้งช่วยให้สามารถเข้าใจวิธีการบุกรุกโจมตีและการทำงานของมัลแวร์ที่เกิดขึ้นบนระบบเครือข่ายอีกด้วย
เวอร์ชัน 2.0 นี้ เป็นการอัพเดทครั้งใหญ่ของ Sysmon ซึ่งมาพร้อมกับฟีเจอร์ที่เพิ่มขึ้น เช่น เพิ่มการมอนิเตอร์การโหลดไดรฟเวอร์และรูปภาพ เพิ่มประสิทธิภาพในการทำรายงาน เพิ่มความสามารถในการฟิลเตอร์เหตุการณ์ที่สนใจ และเพิ่มการตั้งค่าผ่าน Config File แทนที่จะเป็น Command Line เพียงอย่างเดียว
ผู้ที่สนใจสามารถดาวน์โหลด Sysmon 2.0 ได้ที่ http://download.sysinternals.com/files/Sysmon.zip
