System Monitor (Sysmon) - это системный сервис Windows и драйвер устройства, который остается резидентным при перезагрузке системы для мониторинга и регистрации активности системы в журнале событий Windows.
Он содержит подробную информацию о создании процессов, сетевых подключениях и изменениях времени создания файла. Собирая события, которые он генерирует с помощью агентов Windows Event Collection или SIEM, а затем анализируя их, вы можете идентифицировать вредоносную или аномальную активность и понимать, как злоумышленники и вредоносные программы работают в вашей сети.
Обратите внимание, что Sysmon не предоставляет анализ событий, которые он генерирует, и не пытается защитить или скрыть компьютер от злоумышленников.