{"id":1690,"date":"2026-03-26T08:07:13","date_gmt":"2026-03-26T07:07:13","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/sysmon-nativo-windows-11-kb5079473-monitoring-processo-rilevamento-minacce-configurazione-sysadmin\/"},"modified":"2026-03-26T08:07:13","modified_gmt":"2026-03-26T07:07:13","slug":"sysmon-nativo-windows-11-kb5079473-monitoring-processo-rilevamento-minacce-configurazione-sysadmin","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/sysmon-nativo-windows-11-kb5079473-monitoring-processo-rilevamento-minacce-configurazione-sysadmin\/","title":{"rendered":"Come Sfrutto Sysmon Nativo in Windows 11 dopo l&#8217;Update KB5079473 di Marzo 2026: Monitoring di Processo, Rilevamento Minacce e Configurazione per Sysadmin"},"content":{"rendered":"<p>Per anni, <strong>Sysmon<\/strong> (System Monitor) \u00e8 stato lo strumento che ogni sysadmin e security analyst installava come prima cosa su qualsiasi endpoint Windows. Un tool esterno dalla suite Sysinternals, potentissimo ma che richiedeva deployment manuale, aggiornamenti separati e configurazioni ad hoc su ogni macchina. Con l&#8217;update <strong>KB5079473 di marzo 2026<\/strong>, Microsoft ha cambiato le carte in tavola: <em>Sysmon \u00e8 ora un componente nativo di Windows 11<\/em>, attivabile come feature opzionale direttamente dal sistema operativo.<\/p>\n<p>Nella mia esperienza di system administrator, questa \u00e8 una delle novit\u00e0 pi\u00f9 significative per chi gestisce infrastrutture Windows in ambito enterprise. Non si tratta solo di comodit\u00e0: avere Sysmon integrato nel sistema operativo significa aggiornamenti tramite Windows Update, nessun installer esterno da distribuire via GPO e una telemetria di sicurezza finalmente accessibile a tutti senza configurazioni complesse. Vi mostro come ho attivato, configurato e sfruttato questa nuova funzionalit\u00e0 sui miei sistemi.<\/p>\n<p>L&#8217;update KB5079473, rilasciato il <strong>10 marzo 2026<\/strong> come parte del Patch Tuesday, porta Windows 11 alle build 26200.8037 e 26100.8037 per le versioni 25H2 e 24H2. Oltre a Sysmon nativo, include il fix di <strong>79 vulnerabilit\u00e0 di sicurezza<\/strong> (tra cui 2 zero-day pubblicamente divulgate), il supporto WebP per sfondi desktop, Emoji 16 e un test di velocit\u00e0 di rete integrato nella taskbar.<\/p>\n<h2>Cos&#8217;\u00e8 Sysmon e Perch\u00e9 Microsoft l&#8217;Ha Integrato in Windows 11<\/h2>\n<p><strong>System Monitor (Sysmon)<\/strong> \u00e8 un servizio di sistema e driver che monitora e registra l&#8217;attivit\u00e0 del sistema nel Windows Event Log. Originariamente sviluppato da Mark Russinovich come parte della suite <em>Sysinternals<\/em>, Sysmon \u00e8 diventato negli anni lo standard de facto per il <strong>threat hunting<\/strong>, la <em>forensic analysis<\/em> e l&#8217;alimentazione dei pipeline SIEM in ambienti enterprise.<\/p>\n<p>Il motivo dell&#8217;integrazione nativa \u00e8 chiaro: Microsoft vuole rendere la telemetria di sicurezza avanzata accessibile a tutti gli amministratori Windows, non solo a chi ha le competenze e il tempo per distribuire tool esterni. Come hanno scritto sul <strong>Windows IT Pro Blog<\/strong>, Sysmon \u00e8 stato per troppo tempo lo strumento che tutti sapevano di dover installare ma che molti rimandavano per complessit\u00e0 di deployment.<\/p>\n<p>Con la versione nativa, gli aggiornamenti arrivano tramite <strong>Windows Update<\/strong>, eliminando il problema di dover aggiornare manualmente il binario su centinaia di endpoint. Questo si integra perfettamente con le strategie di <a href=\"https:\/\/darioiannascoli.it\/blog\/soc-autonomi-threat-prediction-ai-preemptive-cybersecurity-2026\/\">SOC autonomi e threat prediction<\/a> che ho descritto in un articolo precedente.<\/p>\n<h2>Prerequisiti e Compatibilit\u00e0<\/h2>\n<p>Prima di attivare Sysmon nativo, verificate questi requisiti:<\/p>\n<ul>\n<li><strong>Windows 11 versione 24H2 o 25H2<\/strong> con l&#8217;update KB5079473 installato<\/li>\n<li><strong>Privilegi di amministratore<\/strong> sul dispositivo<\/li>\n<li><strong>Nessuna installazione standalone di Sysmon<\/strong> \u2014 la versione nativa non coesiste con quella scaricata da Sysinternals<\/li>\n<\/ul>\n<p>Questo ultimo punto \u00e8 fondamentale: se avete gi\u00e0 Sysmon installato tramite il pacchetto Sysinternals, <strong>dovete prima disinstallarlo<\/strong> con il comando <code>sysmon -u<\/code> prima di attivare la versione in-box. All&#8217;inizio non ci avevo fatto caso e mi sono ritrovato con conflitti tra i due driver \u2014 un errore banale ma che pu\u00f2 causare problemi seri di logging.<\/p>\n<h2>Come Attivare Sysmon Nativo in Windows 11<\/h2>\n<p>Sysmon nativo \u00e8 <strong>disabilitato per default<\/strong>. Microsoft ha scelto un approccio opt-in, il che \u00e8 sensato: non tutti i sistemi necessitano di questo livello di telemetria, e su macchine con risorse limitate il monitoraggio granulare pu\u00f2 avere un impatto sulle performance.<\/p>\n<h3>Metodo 1: Tramite Interfaccia Grafica<\/h3>\n<ol>\n<li>Aprite <strong>Impostazioni<\/strong> &gt; <strong>Sistema<\/strong> &gt; <strong>Funzionalit\u00e0 facoltative<\/strong><\/li>\n<li>Cliccate su <strong>Altre funzionalit\u00e0 di Windows<\/strong> (in fondo alla pagina)<\/li>\n<li>Nella finestra che si apre, cercate e spuntate <strong>Sysmon<\/strong><\/li>\n<li>Cliccate OK e attendete l&#8217;installazione<\/li>\n<li>Non \u00e8 necessario un riavvio<\/li>\n<\/ol>\n<h3>Metodo 2: Tramite DISM (Consigliato per il Deploy)<\/h3>\n<p>Per il deployment su pi\u00f9 macchine, il metodo da riga di comando \u00e8 decisamente pi\u00f9 pratico:<\/p>\n<pre><code>DISM \/Online \/Enable-Feature \/FeatureName:Sysmon<\/code><\/pre>\n<p>Questo comando attiva la feature e la rende disponibile per l&#8217;inizializzazione. \u00c8 perfetto per script di provisioning e task sequence SCCM\/Intune.<\/p>\n<h3>Inizializzazione del Servizio<\/h3>\n<p>Dopo aver attivato la feature, dovete <strong>inizializzare Sysmon<\/strong> aprendo un prompt dei comandi o PowerShell come amministratore:<\/p>\n<pre><code>sysmon -i<\/code><\/pre>\n<p>Questo comando installa il driver, avvia il servizio Sysmon e inizia a registrare eventi con la <strong>configurazione predefinita<\/strong>. Da questo momento, gli eventi vengono scritti nel canale Event Log dedicato.<\/p>\n<h2>Configurazione Avanzata con File XML<\/h2>\n<p>La vera potenza di Sysmon sta nella sua <strong>configurabilit\u00e0 tramite file XML<\/strong>. La versione nativa mantiene esattamente lo stesso modello di configurazione della versione standalone \u2014 il che significa che tutti i template della community funzionano senza modifiche.<\/p>\n<h3>Applicare una Configurazione Personalizzata<\/h3>\n<p>Per applicare un file di configurazione XML dopo l&#8217;installazione iniziale:<\/p>\n<pre><code>sysmon -c C:sysmonconfig.xml<\/code><\/pre>\n<p>Per verificare la configurazione attualmente attiva:<\/p>\n<pre><code>sysmon -c<\/code><\/pre>\n<h3>Template della Community che Consiglio<\/h3>\n<p>Non partite da zero. Ci sono due template consolidati che uso come base:<\/p>\n<ul>\n<li><strong>SwiftOnSecurity\/sysmon-config<\/strong> \u2014 Il template pi\u00f9 diffuso, ampiamente commentato e pensato come punto di partenza. Ogni sezione include spiegazioni dettagliate, rendendolo anche un ottimo tutorial per chi si avvicina a Sysmon per la prima volta.<\/li>\n<li><strong>Olaf Hartong\/sysmon-modular<\/strong> \u2014 Un approccio modulare con regole dettagliate mappate su <em>MITRE ATT&amp;CK<\/em>. Pi\u00f9 completo e granulare, ideale per ambienti enterprise che necessitano di una copertura esaustiva.<\/li>\n<\/ul>\n<p>Nella mia esperienza, parto dal template di SwiftOnSecurity per ambienti pi\u00f9 piccoli e da sysmon-modular per deployment enterprise dove serve una correlazione diretta con il framework MITRE.<\/p>\n<h3>Esempio di Configurazione Minimale per Sysadmin<\/h3>\n<p>Se volete partire con una configurazione minimale ma efficace, ecco un esempio che monitora i processi pi\u00f9 critici:<\/p>\n<pre><code>&lt;Sysmon schemaversion=\"4.90\"&gt;\n  &lt;EventFiltering&gt;\n    &lt;!-- Monitora creazione processi --&gt;\n    &lt;ProcessCreate onmatch=\"exclude\"&gt;\n      &lt;Image condition=\"is\"&gt;C:WindowsSystem32svchost.exe&lt;\/Image&gt;\n    &lt;\/ProcessCreate&gt;\n    &lt;!-- Connessioni di rete sospette --&gt;\n    &lt;NetworkConnect onmatch=\"include\"&gt;\n      &lt;Image condition=\"is\"&gt;C:WindowsSystem32cmd.exe&lt;\/Image&gt;\n      &lt;Image condition=\"is\"&gt;C:WindowsSystem32WindowsPowerShellv1.0powershell.exe&lt;\/Image&gt;\n      &lt;Image condition=\"is\"&gt;C:WindowsSystem32rundll32.exe&lt;\/Image&gt;\n    &lt;\/NetworkConnect&gt;\n    &lt;!-- Creazione file in directory sensibili --&gt;\n    &lt;FileCreate onmatch=\"include\"&gt;\n      &lt;TargetFilename condition=\"contains\"&gt;Startup&lt;\/TargetFilename&gt;\n      &lt;TargetFilename condition=\"contains\"&gt;Temp&lt;\/TargetFilename&gt;\n    &lt;\/FileCreate&gt;\n  &lt;\/EventFiltering&gt;\n&lt;\/Sysmon&gt;<\/code><\/pre>\n<p>Questa configurazione monitora la creazione di tutti i processi (escludendo il rumore di svchost.exe), traccia le connessioni di rete da cmd, PowerShell e rundll32, e registra la creazione di file nelle directory Startup e Temp \u2014 tutti indicatori classici di attivit\u00e0 malevola.<\/p>\n<h2>Event ID Chiave per il Rilevamento Minacce<\/h2>\n<p>Gli eventi di Sysmon vengono scritti nel canale <strong>Applications and Services Logs &gt; Microsoft &gt; Windows &gt; Sysmon &gt; Operational<\/strong>. Ecco gli Event ID pi\u00f9 importanti per il threat hunting:<\/p>\n<ul>\n<li><strong>Event ID 1 \u2014 Process Creation<\/strong>: il pi\u00f9 importante in assoluto. Registra ogni creazione di processo con command line completa, hash dell&#8217;eseguibile, processo padre e utente. Fondamentale per rilevare attacchi <em>fileless<\/em> (es. <code>powershell -nop -w hidden -enc<\/code>).<\/li>\n<li><strong>Event ID 3 \u2014 Network Connection<\/strong>: traccia le connessioni TCP\/UDP con IP sorgente, destinazione, porta e processo. Essenziale per identificare <em>lateral movement<\/em> e comunicazioni C2.<\/li>\n<li><strong>Event ID 7 \u2014 Image Loaded<\/strong>: registra il caricamento di DLL. Utile per rilevare <em>DLL sideloading<\/em> e <em>DLL injection<\/em>.<\/li>\n<li><strong>Event ID 8 \u2014 CreateRemoteThread<\/strong>: cattura la creazione di thread in processi remoti, tecnica comune di <em>process injection<\/em>.<\/li>\n<li><strong>Event ID 11 \u2014 File Created<\/strong>: monitora la creazione di file, cruciale per rilevare il drop di payload malevoli.<\/li>\n<li><strong>Event ID 22 \u2014 DNS Query<\/strong>: registra le query DNS, fondamentale per identificare comunicazioni con domini di C2.<\/li>\n<li><strong>Event ID 25 \u2014 Process Tampering<\/strong>: rileva tentativi di <em>process hollowing<\/em> e altre tecniche di evasione.<\/li>\n<\/ul>\n<p>Ho trovato particolarmente utile combinare Event ID 1 e Event ID 3 per tracciare catene di esecuzione sospette: un processo PowerShell lanciato da cmd.exe che poi effettua una connessione a un IP esterno \u00e8 quasi sempre un indicatore di compromissione. Se volete approfondire le strategie di <a href=\"https:\/\/darioiannascoli.it\/blog\/prevenire-ransomware-malware-ai-agents-defensive-security-threat-monitoring-detection-2026\/\">rilevamento ransomware e malware con approcci moderni<\/a>, ne ho parlato in dettaglio.<\/p>\n<h2>Interrogare gli Eventi Sysmon con PowerShell<\/h2>\n<p>Una volta che Sysmon \u00e8 attivo e genera eventi, potete interrogarli direttamente con PowerShell. Ecco i comandi che uso quotidianamente:<\/p>\n<h3>Ultimi 50 Processi Creati<\/h3>\n<pre><code>Get-WinEvent -LogName \"Microsoft-Windows-Sysmon\/Operational\" -FilterXPath \"*[System[EventID=1]]\" -MaxEvents 50 | Format-Table TimeCreated, Message -Wrap<\/code><\/pre>\n<h3>Processi PowerShell con Command Line Sospetta<\/h3>\n<pre><code>Get-WinEvent -LogName \"Microsoft-Windows-Sysmon\/Operational\" -FilterXPath \"*[System[EventID=1] and EventData[Data[@Name='Image'] and (Data='.powershell.exe' or Data='.pwsh.exe')]]\" -MaxEvents 20 | ForEach-Object { $_.Message }<\/code><\/pre>\n<h3>Connessioni di Rete verso IP Esterni<\/h3>\n<pre><code>Get-WinEvent -LogName \"Microsoft-Windows-Sysmon\/Operational\" -FilterXPath \"*[System[EventID=3]]\" -MaxEvents 100 | Where-Object { $_.Message -notmatch \"DestinationIp: (127.|10.|192.168.|172.(1[6-9]|2[0-9]|3[01]))\" }<\/code><\/pre>\n<p>Questi comandi sono il mio punto di partenza quando devo investigare un endpoint sospetto. Per analisi pi\u00f9 strutturate, gli eventi Sysmon si integrano perfettamente con <strong>Windows Event Forwarding (WEF)<\/strong> per la raccolta centralizzata, oppure con SIEM come Splunk, Elastic Security o Microsoft Sentinel.<\/p>\n<h2>Integrazione con SIEM e Forwarding Centralizzato<\/h2>\n<p>In un ambiente enterprise, non basta avere Sysmon attivo sui singoli endpoint: serve una <strong>raccolta centralizzata<\/strong> degli eventi. La buona notizia \u00e8 che la versione nativa si integra con gli stessi strumenti che gi\u00e0 usavate:<\/p>\n<ul>\n<li><strong>Windows Event Forwarding (WEF)<\/strong>: configurate una subscription per raccogliere il canale <code>Microsoft-Windows-Sysmon\/Operational<\/code> dal source computer al collector<\/li>\n<li><strong>Microsoft Sentinel<\/strong>: il connettore Windows Security Events raccoglie automaticamente gli eventi Sysmon<\/li>\n<li><strong>Elastic Agent \/ Winlogbeat<\/strong>: aggiungete il canale Sysmon alla configurazione dell&#8217;agent<\/li>\n<li><strong>Splunk Universal Forwarder<\/strong>: aggiungete un input per il canale Event Log di Sysmon in <code>inputs.conf<\/code><\/li>\n<\/ul>\n<p>Il vantaggio rispetto alla versione standalone \u00e8 che non dovete pi\u00f9 preoccuparvi di aggiornare il binario Sysmon separatamente \u2014 con la versione nativa, gli aggiornamenti arrivano attraverso il normale ciclo di <strong>Windows Update<\/strong>.<\/p>\n<h2>Deployment via Group Policy e Intune<\/h2>\n<p>Per un deployment enterprise, vi consiglio questo approccio che ho testato sui miei ambienti:<\/p>\n<ol>\n<li><strong>Attivate la feature<\/strong> tramite DISM nel task sequence di provisioning o via script PowerShell distribuito da Intune<\/li>\n<li><strong>Distribuite il file XML di configurazione<\/strong> in un percorso condiviso di rete o tramite Intune file copy<\/li>\n<li><strong>Inizializzate Sysmon<\/strong> con un task schedulato che esegue <code>sysmon -i -accepteula<\/code> e poi <code>sysmon -c \\serversharesysmon-config.xml<\/code><\/li>\n<li><strong>Configurate il forwarding<\/strong> degli eventi verso il vostro SIEM<\/li>\n<\/ol>\n<p>Per chi gestisce server Windows oltre ai client, \u00e8 utile sapere che Sysmon nativo \u00e8 disponibile anche su <strong>Windows Server 2025<\/strong> e successivi. Questo si inserisce bene nella strategia di <a href=\"https:\/\/darioiannascoli.it\/blog\/configurare-server-plesk-obsidian-hosting-wordpress-prestazioni-sicurezza-2026\/\">hardening dei server<\/a> che ho descritto per ambienti Plesk.<\/p>\n<h2>Le Altre Novit\u00e0 di KB5079473<\/h2>\n<p>Oltre a Sysmon, l&#8217;update di marzo porta altre novit\u00e0 che vale la pena menzionare:<\/p>\n<ul>\n<li><strong>Network Speed Test integrato<\/strong>: accessibile dalle Quick Settings o dal menu contestuale dell&#8217;icona di rete nella system tray<\/li>\n<li><strong>WebP come sfondo desktop<\/strong>: finalmente potete impostare immagini .webp come wallpaper<\/li>\n<li><strong>Emoji 16<\/strong>: nuove emoji tra cui fingerprint, harp e splatter<\/li>\n<li><strong>Quick Machine Recovery<\/strong>: ora attivo automaticamente sui dispositivi Windows Professional non domain-joined<\/li>\n<li><strong>RSAT per ARM64<\/strong>: supporto ai Remote Server Administration Tools su dispositivi Arm64<\/li>\n<li><strong>79 fix di sicurezza<\/strong>: incluse 2 vulnerabilit\u00e0 zero-day (CVE-2026-21262 per SQL Server e CVE-2026-26127 per .NET)<\/li>\n<\/ul>\n<p>Se avete seguito il mio articolo sulle <a href=\"https:\/\/darioiannascoli.it\/blog\/aggiornamento-windows-11-marzo-2026-kb5077241-novita-vivetool\/\">novit\u00e0 dell&#8217;update KB5077241 con ViVeTool<\/a>, noterete come Microsoft stia accelerando nell&#8217;integrare funzionalit\u00e0 che prima richiedevano tool di terze parti. Lo stesso trend che ho osservato con il <a href=\"https:\/\/darioiannascoli.it\/blog\/microsoft-copilot-nativo-windows-11-web-wrapper-marzo-2026-disattivare-integrazioni-ai\/\">ritorno al web wrapper per Copilot<\/a> \u2014 Microsoft sta ridefinendo cosa \u00e8 &#8220;nativo&#8221; in Windows 11.<\/p>\n<h2>Problemi Noti e Workaround<\/h2>\n<p>L&#8217;update KB5079473 non \u00e8 esente da problemi. Microsoft ha confermato che in alcuni casi pu\u00f2 causare problemi con l&#8217;<strong>accesso agli account Microsoft<\/strong> in alcune applicazioni. Un fix \u00e8 stato rilasciato con l&#8217;update successivo <strong>KB5085516<\/strong> del 22 marzo 2026.<\/p>\n<p>Per quanto riguarda Sysmon nativo specificamente, ho riscontrato un problema: se tentate di installare la versione nativa con quella standalone ancora presente, ottenete un errore silenzioso \u2014 il servizio non si avvia ma non ricevete un messaggio chiaro. La soluzione \u00e8 sempre disinstallare prima la versione standalone con <code>sysmon -u<\/code> e poi procedere con l&#8217;attivazione della feature nativa.<\/p>\n<h2>FAQ<\/h2>\n<h3>Sysmon nativo sostituisce completamente la versione Sysinternals standalone?<\/h3>\n<p>S\u00ec, funzionalmente \u00e8 equivalente. La differenza principale \u00e8 nel metodo di distribuzione e aggiornamento: la versione nativa si aggiorna tramite Windows Update invece che tramite download manuale da Sysinternals. Le configurazioni XML esistenti funzionano senza modifiche. Tuttavia, le due versioni non possono coesistere: dovete prima disinstallare la versione standalone con <code>sysmon -u<\/code>.<\/p>\n<h3>Sysmon nativo ha un impatto significativo sulle performance del sistema?<\/h3>\n<p>Dipende dalla configurazione. Con il template di default, l&#8217;impatto \u00e8 minimo su hardware moderno. Con configurazioni molto verbose che monitorano tutti gli Event ID senza filtri di esclusione, potreste notare un aumento nell&#8217;utilizzo di CPU e disco, specialmente su server con alto volume di attivit\u00e0. Il consiglio \u00e8 partire da un template come quello di SwiftOnSecurity e aggiungere regole progressivamente monitorando l&#8217;impatto.<\/p>\n<h3>Posso usare Sysmon nativo per rilevare attacchi ransomware?<\/h3>\n<p>Assolutamente s\u00ec. Gli Event ID 1 (Process Creation), 11 (File Created) e 23 (File Delete) sono particolarmente utili. Potete configurare regole per rilevare la creazione massiva di file con estensioni anomale, processi che accedono a un numero elevato di file in poco tempo, o l&#8217;esecuzione di tool come <code>vssadmin delete shadows<\/code> che \u00e8 un indicatore classico di ransomware. Combinato con un SIEM, potete creare alert in tempo reale.<\/p>\n<h3>Come aggiorno la configurazione XML di Sysmon senza riavviare il servizio?<\/h3>\n<p>Usate il comando <code>sysmon -c nuovo-config.xml<\/code>. La nuova configurazione viene applicata immediatamente senza interruzione del servizio e senza perdita di eventi. \u00c8 lo stesso comportamento della versione standalone.<\/p>\n<h3>KB5079473 \u00e8 obbligatorio o posso rimandarlo?<\/h3>\n<p>\u00c8 un aggiornamento di sicurezza cumulativo che si installa automaticamente tramite Windows Update. Include fix per 79 vulnerabilit\u00e0, di cui 2 zero-day. Il mio consiglio \u00e8 installarlo il prima possibile, soprattutto per le patch di sicurezza. Se riscontrate problemi con l&#8217;accesso agli account Microsoft, applicate anche il fix KB5085516 rilasciato il 22 marzo.<\/p>\n<h2>Conclusione<\/h2>\n<p>L&#8217;integrazione nativa di <strong>Sysmon in Windows 11<\/strong> con l&#8217;update KB5079473 \u00e8 un passo avanti significativo per la sicurezza degli endpoint Windows. Per chi come me gestisce infrastrutture miste con decine di client e server, eliminare la necessit\u00e0 di distribuire un tool esterno e poter contare su aggiornamenti automatici tramite Windows Update semplifica enormemente il workflow di security monitoring.<\/p>\n<p>Se non avete ancora attivato Sysmon nativo sui vostri sistemi, vi consiglio di farlo subito: attivate la feature, inizializzatela con <code>sysmon -i<\/code>, applicate un template della community come punto di partenza e configurate il forwarding verso il vostro SIEM. In un&#8217;epoca in cui le minacce diventano sempre pi\u00f9 sofisticate \u2014 come ho discusso nell&#8217;articolo sulla <a href=\"https:\/\/darioiannascoli.it\/blog\/aggiornamento-wordpress-692-vulnerabilita-sicurezza-marzo-2026-ssrf-xss-regex-dos\/\">sicurezza di WordPress 6.9.2<\/a> e sulle <a href=\"https:\/\/darioiannascoli.it\/blog\/windows-update-febbraio-2026-zero-day-certificati-secure-boot-aggiornamento-aziende\/\">patch Windows di febbraio 2026<\/a> \u2014 avere una telemetria granulare su ogni endpoint non \u00e8 pi\u00f9 un lusso, \u00e8 una necessit\u00e0.<\/p>\n<p>Se avete domande sulla configurazione o volete condividere la vostra esperienza con Sysmon nativo, lasciate un commento qui sotto.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Guida completa all&#8217;attivazione e configurazione di Sysmon nativo in Windows 11 dopo l&#8217;update KB5079473 di marzo 2026: Event ID, XML config e threat detection.<\/p>\n","protected":false},"author":1,"featured_media":1691,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"Sysmon Nativo Windows 11 KB5079473: Guida Configurazione","_seopress_titles_desc":"Come attivo e configuro Sysmon nativo in Windows 11 dopo KB5079473 di marzo 2026: monitoring processi, Event ID, XML config e rilevamento minacce per sysadmin.","_seopress_robots_index":"","footnotes":""},"categories":[6],"tags":[541,364,542,540,426,82],"class_list":["post-1690","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-windows","tag-kb5079473","tag-patch-tuesday","tag-sicurezza-endpoint","tag-sysmon","tag-threat-detection","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/1690","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/comments?post=1690"}],"version-history":[{"count":0,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/1690\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media\/1691"}],"wp:attachment":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media?parent=1690"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/categories?post=1690"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/tags?post=1690"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}