/https://www.ilsoftware.it/app/uploads/2023/05/img_19381.jpg "Capire a quali domini si collegano i programmi installati con il nuovo Sysmon")
Mark Russinovich, sviluppatore Microsoft e CTO di Azure, ha sviluppato nel corso degli anni alcune tra le più apprezzate utilità per Windows. Basti pensare a Process Explorer e Process Monitor, solo per citare i due tool forse più famosi in assoluto.
Process Explorer genera un’istantanea di tutti i processi in esecuzione sul sistema insieme con le varie dipendenze e le loro caratteristiche tecniche più importanti; il secondo permette di sapere quali modifiche a livello di file system e di registro di sistema vengono applicate dai componenti di Windows e da qualunque programma in esecuzione.
Tra gli strumenti più interessanti anche anche Sysmon, applicazione che viene installata in Windows come driver di sistema e che rimane residente in memoria registrando in un file di log tutto ciò che avviene.
Sysmon fornisce informazioni sulla creazione di nuovi processi, sulle connessione di rete e sulle modifiche via a via applicate a livello di file system.
La novità, che farà certamente felice una nutrita schiera di amministratori, è la possibilità di controllare attraverso Sysmon i siti web visitati e soprattutto i processi che hanno richiesto una connessione verso i vari URL e IP.
Premendo la combinazione di tasti Windows+R quindi digitando eventvwr.msc, si può accedere al Visualizzatore eventi di Windows. Cliccando su Registri applicazioni e servizi quindi su Microsoft, Windows, due volte su DNS Client Events e infine con il tasto destro su Operational scegliendo Attiva registro dal menu contestuale, si potrà attivare in Windows la registrazione automatica delle richieste DNS.
Ciò che Windows non fa, però, è collegare le richieste DNS con i processi in esecuzione.
Qui entra in gioco Sysmon: installandolo con il comando Sysmon.exe -i, nel registro degli eventi di Windows si troveranno i riferimenti a tutte le richieste DNS insieme con i nomi delle applicazioni che le hanno generate.
La nuova versione di Sysmon non è stata ancora rilasciata ufficialmente ma come conferma Russinovich sarà a breve disponibile a questo indirizzo.
/https://www.ilsoftware.it/app/uploads/2024/07/Apple-e-Microsoft.png "Microsoft vuole evitare nuovi disastri e opterà per il")
/https://www.ilsoftware.it/app/uploads/2024/07/Apple-Icona-Finder-macOS.png "Caso CrowdStrike: l'accordo con la CE impedisce a Microsoft di seguire l'esempio di Apple")
/https://www.ilsoftware.it/app/uploads/2024/06/windows-11-23H2-non-e-bloccato.jpg "Windows 11: pubblicità invadente promuove app per i backup")
/https://www.ilsoftware.it/app/uploads/2024/05/ninjaone-crowdstrike-partnership.jpg "Microsoft offre strumento per ripristino dispositivi con problema CrowdStrike")