Windows 11 krijgt ingebouwde Sysmon voor beveiligingsdetectie

In dit artikel:

Microsoft integreert de Sysmon-functionaliteit voortaan direct in Windows 11 en Windows Server 2025. De beveiligingstool, eerder onderdeel van Sysinternals, is aangekondigd in november 2025 en wordt nu uitgerold naar Windows 11 Insider Preview Build 26220.7752. Standaard staat Sysmon uit; beheerders moeten het expliciet inschakelen.

Sysmon houdt gedetailleerde systeemactiviteit bij en schrijft gebeurtenissen naar de eventlog (Applications and Services Logs / Microsoft/Windows/Sysmon/Operational). Die data helpt securityteams bij het opsporen van dreigingen zoals credential theft en laterale bewegingen en wordt veelal door SIEM-systemen geconsumeerd voor analyse. De tool zelf voert geen automatische analyses of alerts uit — het levert ruwe, diepgaande telemetrie voor verdere verwerking.

De native integratie vermindert operationele lasten: geen handmatig downloaden en uitrollen van binaries meer, updates komen via Windows Update en compliance kan consistenter worden afgedwongen. Wie al de losse Sysmon-installatie van Sysinternals gebruikt, moet die eerst verwijderen voordat de ingebouwde versie geactiveerd kan worden. Functionaliteit blijft verder ongewijzigd, inclusief ondersteuning voor eigen configuratiebestanden.

Inschakelen kan via Settings > System > Optional features > More Windows features of via PowerShell met Dism /Online /Enable-Feature /FeatureName:Sysmon; start de service daarna met sysmon -i. Deze stap maakt het eenvoudiger om Sysmon op grote schaal betrouwbaar en up-to-date te houden.