Home Chi Sono
Servizi
WordPress Sviluppo Web Server & Hosting Assistenza Tecnica Windows Android
Blog
Tutti gli Articoli WordPress Hosting Plesk Assistenza Computer Windows Android A.I.
Contatti

Come Sfrutto Sysmon Nativo in Windows 11 dopo l’Update KB5079473 di Marzo 2026: Monitoring di Processo, Rilevamento Minacce e Configurazione per Sysadmin

Come Sfrutto Sysmon Nativo in Windows 11 dopo l’Update KB5079473 di Marzo 2026: Monitoring di Processo, Rilevamento Minacce e Configurazione per Sysadmin

Per anni, Sysmon (System Monitor) è stato lo strumento che ogni sysadmin e security analyst installava come prima cosa su qualsiasi endpoint Windows. Un tool esterno dalla suite Sysinternals, potentissimo ma che richiedeva deployment manuale, aggiornamenti separati e configurazioni ad hoc su ogni macchina. Con l’update KB5079473 di marzo 2026, Microsoft ha cambiato le carte in tavola: Sysmon è ora un componente nativo di Windows 11, attivabile come feature opzionale direttamente dal sistema operativo.

Nella mia esperienza di system administrator, questa è una delle novità più significative per chi gestisce infrastrutture Windows in ambito enterprise. Non si tratta solo di comodità: avere Sysmon integrato nel sistema operativo significa aggiornamenti tramite Windows Update, nessun installer esterno da distribuire via GPO e una telemetria di sicurezza finalmente accessibile a tutti senza configurazioni complesse. Vi mostro come ho attivato, configurato e sfruttato questa nuova funzionalità sui miei sistemi.

L’update KB5079473, rilasciato il 10 marzo 2026 come parte del Patch Tuesday, porta Windows 11 alle build 26200.8037 e 26100.8037 per le versioni 25H2 e 24H2. Oltre a Sysmon nativo, include il fix di 79 vulnerabilità di sicurezza (tra cui 2 zero-day pubblicamente divulgate), il supporto WebP per sfondi desktop, Emoji 16 e un test di velocità di rete integrato nella taskbar.

Cos’è Sysmon e Perché Microsoft l’Ha Integrato in Windows 11

System Monitor (Sysmon) è un servizio di sistema e driver che monitora e registra l’attività del sistema nel Windows Event Log. Originariamente sviluppato da Mark Russinovich come parte della suite Sysinternals, Sysmon è diventato negli anni lo standard de facto per il threat hunting, la forensic analysis e l’alimentazione dei pipeline SIEM in ambienti enterprise.

Il motivo dell’integrazione nativa è chiaro: Microsoft vuole rendere la telemetria di sicurezza avanzata accessibile a tutti gli amministratori Windows, non solo a chi ha le competenze e il tempo per distribuire tool esterni. Come hanno scritto sul Windows IT Pro Blog, Sysmon è stato per troppo tempo lo strumento che tutti sapevano di dover installare ma che molti rimandavano per complessità di deployment.

Con la versione nativa, gli aggiornamenti arrivano tramite Windows Update, eliminando il problema di dover aggiornare manualmente il binario su centinaia di endpoint. Questo si integra perfettamente con le strategie di SOC autonomi e threat prediction che ho descritto in un articolo precedente.

Prerequisiti e Compatibilità

Prima di attivare Sysmon nativo, verificate questi requisiti:

  • Windows 11 versione 24H2 o 25H2 con l’update KB5079473 installato
  • Privilegi di amministratore sul dispositivo
  • Nessuna installazione standalone di Sysmon — la versione nativa non coesiste con quella scaricata da Sysinternals

Questo ultimo punto è fondamentale: se avete già Sysmon installato tramite il pacchetto Sysinternals, dovete prima disinstallarlo con il comando sysmon -u prima di attivare la versione in-box. All’inizio non ci avevo fatto caso e mi sono ritrovato con conflitti tra i due driver — un errore banale ma che può causare problemi seri di logging.

Come Attivare Sysmon Nativo in Windows 11

Sysmon nativo è disabilitato per default. Microsoft ha scelto un approccio opt-in, il che è sensato: non tutti i sistemi necessitano di questo livello di telemetria, e su macchine con risorse limitate il monitoraggio granulare può avere un impatto sulle performance.

Metodo 1: Tramite Interfaccia Grafica

  1. Aprite Impostazioni > Sistema > Funzionalità facoltative
  2. Cliccate su Altre funzionalità di Windows (in fondo alla pagina)
  3. Nella finestra che si apre, cercate e spuntate Sysmon
  4. Cliccate OK e attendete l’installazione
  5. Non è necessario un riavvio

Metodo 2: Tramite DISM (Consigliato per il Deploy)

Per il deployment su più macchine, il metodo da riga di comando è decisamente più pratico:

DISM /Online /Enable-Feature /FeatureName:Sysmon

Questo comando attiva la feature e la rende disponibile per l’inizializzazione. È perfetto per script di provisioning e task sequence SCCM/Intune.

Inizializzazione del Servizio

Dopo aver attivato la feature, dovete inizializzare Sysmon aprendo un prompt dei comandi o PowerShell come amministratore:

sysmon -i

Questo comando installa il driver, avvia il servizio Sysmon e inizia a registrare eventi con la configurazione predefinita. Da questo momento, gli eventi vengono scritti nel canale Event Log dedicato.

Configurazione Avanzata con File XML

La vera potenza di Sysmon sta nella sua configurabilità tramite file XML. La versione nativa mantiene esattamente lo stesso modello di configurazione della versione standalone — il che significa che tutti i template della community funzionano senza modifiche.

Applicare una Configurazione Personalizzata

Per applicare un file di configurazione XML dopo l’installazione iniziale:

sysmon -c C:sysmonconfig.xml

Per verificare la configurazione attualmente attiva:

sysmon -c

Template della Community che Consiglio

Non partite da zero. Ci sono due template consolidati che uso come base:

  • SwiftOnSecurity/sysmon-config — Il template più diffuso, ampiamente commentato e pensato come punto di partenza. Ogni sezione include spiegazioni dettagliate, rendendolo anche un ottimo tutorial per chi si avvicina a Sysmon per la prima volta.
  • Olaf Hartong/sysmon-modular — Un approccio modulare con regole dettagliate mappate su MITRE ATT&CK. Più completo e granulare, ideale per ambienti enterprise che necessitano di una copertura esaustiva.

Nella mia esperienza, parto dal template di SwiftOnSecurity per ambienti più piccoli e da sysmon-modular per deployment enterprise dove serve una correlazione diretta con il framework MITRE.

Esempio di Configurazione Minimale per Sysadmin

Se volete partire con una configurazione minimale ma efficace, ecco un esempio che monitora i processi più critici:

<Sysmon schemaversion="4.90">
  <EventFiltering>
    <!-- Monitora creazione processi -->
    <ProcessCreate onmatch="exclude">
      <Image condition="is">C:WindowsSystem32svchost.exe</Image>
    </ProcessCreate>
    <!-- Connessioni di rete sospette -->
    <NetworkConnect onmatch="include">
      <Image condition="is">C:WindowsSystem32cmd.exe</Image>
      <Image condition="is">C:WindowsSystem32WindowsPowerShellv1.0powershell.exe</Image>
      <Image condition="is">C:WindowsSystem32rundll32.exe</Image>
    </NetworkConnect>
    <!-- Creazione file in directory sensibili -->
    <FileCreate onmatch="include">
      <TargetFilename condition="contains">Startup</TargetFilename>
      <TargetFilename condition="contains">Temp</TargetFilename>
    </FileCreate>
  </EventFiltering>
</Sysmon>

Questa configurazione monitora la creazione di tutti i processi (escludendo il rumore di svchost.exe), traccia le connessioni di rete da cmd, PowerShell e rundll32, e registra la creazione di file nelle directory Startup e Temp — tutti indicatori classici di attività malevola.

Event ID Chiave per il Rilevamento Minacce

Gli eventi di Sysmon vengono scritti nel canale Applications and Services Logs > Microsoft > Windows > Sysmon > Operational. Ecco gli Event ID più importanti per il threat hunting:

  • Event ID 1 — Process Creation: il più importante in assoluto. Registra ogni creazione di processo con command line completa, hash dell’eseguibile, processo padre e utente. Fondamentale per rilevare attacchi fileless (es. powershell -nop -w hidden -enc).
  • Event ID 3 — Network Connection: traccia le connessioni TCP/UDP con IP sorgente, destinazione, porta e processo. Essenziale per identificare lateral movement e comunicazioni C2.
  • Event ID 7 — Image Loaded: registra il caricamento di DLL. Utile per rilevare DLL sideloading e DLL injection.
  • Event ID 8 — CreateRemoteThread: cattura la creazione di thread in processi remoti, tecnica comune di process injection.
  • Event ID 11 — File Created: monitora la creazione di file, cruciale per rilevare il drop di payload malevoli.
  • Event ID 22 — DNS Query: registra le query DNS, fondamentale per identificare comunicazioni con domini di C2.
  • Event ID 25 — Process Tampering: rileva tentativi di process hollowing e altre tecniche di evasione.

Ho trovato particolarmente utile combinare Event ID 1 e Event ID 3 per tracciare catene di esecuzione sospette: un processo PowerShell lanciato da cmd.exe che poi effettua una connessione a un IP esterno è quasi sempre un indicatore di compromissione. Se volete approfondire le strategie di rilevamento ransomware e malware con approcci moderni, ne ho parlato in dettaglio.

Interrogare gli Eventi Sysmon con PowerShell

Una volta che Sysmon è attivo e genera eventi, potete interrogarli direttamente con PowerShell. Ecco i comandi che uso quotidianamente:

Ultimi 50 Processi Creati

Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[EventID=1]]" -MaxEvents 50 | Format-Table TimeCreated, Message -Wrap

Processi PowerShell con Command Line Sospetta

Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[EventID=1] and EventData[Data[@Name='Image'] and (Data='.powershell.exe' or Data='.pwsh.exe')]]" -MaxEvents 20 | ForEach-Object { $_.Message }

Connessioni di Rete verso IP Esterni

Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[EventID=3]]" -MaxEvents 100 | Where-Object { $_.Message -notmatch "DestinationIp: (127.|10.|192.168.|172.(1[6-9]|2[0-9]|3[01]))" }

Questi comandi sono il mio punto di partenza quando devo investigare un endpoint sospetto. Per analisi più strutturate, gli eventi Sysmon si integrano perfettamente con Windows Event Forwarding (WEF) per la raccolta centralizzata, oppure con SIEM come Splunk, Elastic Security o Microsoft Sentinel.

Integrazione con SIEM e Forwarding Centralizzato

In un ambiente enterprise, non basta avere Sysmon attivo sui singoli endpoint: serve una raccolta centralizzata degli eventi. La buona notizia è che la versione nativa si integra con gli stessi strumenti che già usavate:

  • Windows Event Forwarding (WEF): configurate una subscription per raccogliere il canale Microsoft-Windows-Sysmon/Operational dal source computer al collector
  • Microsoft Sentinel: il connettore Windows Security Events raccoglie automaticamente gli eventi Sysmon
  • Elastic Agent / Winlogbeat: aggiungete il canale Sysmon alla configurazione dell’agent
  • Splunk Universal Forwarder: aggiungete un input per il canale Event Log di Sysmon in inputs.conf

Il vantaggio rispetto alla versione standalone è che non dovete più preoccuparvi di aggiornare il binario Sysmon separatamente — con la versione nativa, gli aggiornamenti arrivano attraverso il normale ciclo di Windows Update.

Deployment via Group Policy e Intune

Per un deployment enterprise, vi consiglio questo approccio che ho testato sui miei ambienti:

  1. Attivate la feature tramite DISM nel task sequence di provisioning o via script PowerShell distribuito da Intune
  2. Distribuite il file XML di configurazione in un percorso condiviso di rete o tramite Intune file copy
  3. Inizializzate Sysmon con un task schedulato che esegue sysmon -i -accepteula e poi sysmon -c \serversharesysmon-config.xml
  4. Configurate il forwarding degli eventi verso il vostro SIEM

Per chi gestisce server Windows oltre ai client, è utile sapere che Sysmon nativo è disponibile anche su Windows Server 2025 e successivi. Questo si inserisce bene nella strategia di hardening dei server che ho descritto per ambienti Plesk.

Le Altre Novità di KB5079473

Oltre a Sysmon, l’update di marzo porta altre novità che vale la pena menzionare:

  • Network Speed Test integrato: accessibile dalle Quick Settings o dal menu contestuale dell’icona di rete nella system tray
  • WebP come sfondo desktop: finalmente potete impostare immagini .webp come wallpaper
  • Emoji 16: nuove emoji tra cui fingerprint, harp e splatter
  • Quick Machine Recovery: ora attivo automaticamente sui dispositivi Windows Professional non domain-joined
  • RSAT per ARM64: supporto ai Remote Server Administration Tools su dispositivi Arm64
  • 79 fix di sicurezza: incluse 2 vulnerabilità zero-day (CVE-2026-21262 per SQL Server e CVE-2026-26127 per .NET)

Se avete seguito il mio articolo sulle novità dell’update KB5077241 con ViVeTool, noterete come Microsoft stia accelerando nell’integrare funzionalità che prima richiedevano tool di terze parti. Lo stesso trend che ho osservato con il ritorno al web wrapper per Copilot — Microsoft sta ridefinendo cosa è “nativo” in Windows 11.

Problemi Noti e Workaround

L’update KB5079473 non è esente da problemi. Microsoft ha confermato che in alcuni casi può causare problemi con l’accesso agli account Microsoft in alcune applicazioni. Un fix è stato rilasciato con l’update successivo KB5085516 del 22 marzo 2026.

Per quanto riguarda Sysmon nativo specificamente, ho riscontrato un problema: se tentate di installare la versione nativa con quella standalone ancora presente, ottenete un errore silenzioso — il servizio non si avvia ma non ricevete un messaggio chiaro. La soluzione è sempre disinstallare prima la versione standalone con sysmon -u e poi procedere con l’attivazione della feature nativa.

FAQ

Sysmon nativo sostituisce completamente la versione Sysinternals standalone?

Sì, funzionalmente è equivalente. La differenza principale è nel metodo di distribuzione e aggiornamento: la versione nativa si aggiorna tramite Windows Update invece che tramite download manuale da Sysinternals. Le configurazioni XML esistenti funzionano senza modifiche. Tuttavia, le due versioni non possono coesistere: dovete prima disinstallare la versione standalone con sysmon -u.

Sysmon nativo ha un impatto significativo sulle performance del sistema?

Dipende dalla configurazione. Con il template di default, l’impatto è minimo su hardware moderno. Con configurazioni molto verbose che monitorano tutti gli Event ID senza filtri di esclusione, potreste notare un aumento nell’utilizzo di CPU e disco, specialmente su server con alto volume di attività. Il consiglio è partire da un template come quello di SwiftOnSecurity e aggiungere regole progressivamente monitorando l’impatto.

Posso usare Sysmon nativo per rilevare attacchi ransomware?

Assolutamente sì. Gli Event ID 1 (Process Creation), 11 (File Created) e 23 (File Delete) sono particolarmente utili. Potete configurare regole per rilevare la creazione massiva di file con estensioni anomale, processi che accedono a un numero elevato di file in poco tempo, o l’esecuzione di tool come vssadmin delete shadows che è un indicatore classico di ransomware. Combinato con un SIEM, potete creare alert in tempo reale.

Come aggiorno la configurazione XML di Sysmon senza riavviare il servizio?

Usate il comando sysmon -c nuovo-config.xml. La nuova configurazione viene applicata immediatamente senza interruzione del servizio e senza perdita di eventi. È lo stesso comportamento della versione standalone.

KB5079473 è obbligatorio o posso rimandarlo?

È un aggiornamento di sicurezza cumulativo che si installa automaticamente tramite Windows Update. Include fix per 79 vulnerabilità, di cui 2 zero-day. Il mio consiglio è installarlo il prima possibile, soprattutto per le patch di sicurezza. Se riscontrate problemi con l’accesso agli account Microsoft, applicate anche il fix KB5085516 rilasciato il 22 marzo.

Conclusione

L’integrazione nativa di Sysmon in Windows 11 con l’update KB5079473 è un passo avanti significativo per la sicurezza degli endpoint Windows. Per chi come me gestisce infrastrutture miste con decine di client e server, eliminare la necessità di distribuire un tool esterno e poter contare su aggiornamenti automatici tramite Windows Update semplifica enormemente il workflow di security monitoring.

Se non avete ancora attivato Sysmon nativo sui vostri sistemi, vi consiglio di farlo subito: attivate la feature, inizializzatela con sysmon -i, applicate un template della community come punto di partenza e configurate il forwarding verso il vostro SIEM. In un’epoca in cui le minacce diventano sempre più sofisticate — come ho discusso nell’articolo sulla sicurezza di WordPress 6.9.2 e sulle patch Windows di febbraio 2026 — avere una telemetria granulare su ogni endpoint non è più un lusso, è una necessità.

Se avete domande sulla configurazione o volete condividere la vostra esperienza con Sysmon nativo, lasciate un commento qui sotto.

Share: