Sysmon を使用して Windows の監査を強化する

Sysmon を使用して Windows の監査を 強化する SCUGJ (wSCUGJ) 勉強会 #50 2026-03-07 Kazuki Takai Windows Server & Cloud User Group Japan

自己紹介 • たかい （Kazuki Takai） // X（旧 Twitter）@zhuky7 • 会社員 （某ISP勤務） • サービス基盤開発、技術調査・技術開発、ライセンス関連 • wSCUGJ （Windows Server & System Center User Group Japan） • Active Directory 勉強会 • 興味分野：統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Cloud and Datacenter Management / Microsoft Azure • @IT：Windows Server 2025 連載

• https://twitter.com/zhuky7

注意点 • 本セッションでは一部リリース前の機能について取り扱います • 機能や動作仕様については変更となる可能性があります • 最新の仕様、動作、状況は Microsoft Learn のドキュメントや Microsoft の Blog、Tech Community などをご確認ください • 本セッションの内容は Sysmon for Windows を想定しています • Sysmon for Linux については取り扱いません

本日のお話

Microsoft Ignite 2025 にて • Sysmon が Windows ネイティブ機能として搭載 される旨アナウンス https://techcommunity.microsoft.com/blog/windows-itpro-blog/native-sysmon-functionality-coming-to-windows/4468112 より引用

• https://techcommunity.microsoft.com/blog/windows-itpro-blog/native-sysmon-functionality-coming-to-windows/4468112?wt.mc_id=AZ-MVP-5002274

Windows 11 KB5077241 • Windows 11 25H2 の 2026 年 2 月のプレビュー 更新プログラム（KB5077241） • 2026 年 2 月 24 日 — KB5077241 (OS ビルド 26200.7922 および 26100.7922) プレビュー - Microsoft サポート • Sysmon が Windows の機能として利用可能に • Windows 24H2 のプレビュー更新でも利用可能

• https://support.microsoft.com/ja-jp/topic/2026-年-2-月-24-日-kb5077241-os-ビルド-26200-7922-および-26100-7922-プレビュー-b8cc7bc8-d640-4f18-9437-3ee59298b970

Windows 11 KB5077241

KB5077241 インストール後 • Windows のその他の機能に追加

Windows 機能としての Sysmon • 2026 年 3 月の（プレビューではない）更新プログラムに含 まれる予定 • Hotpatch を利用していない環境 • Hotpatch 利用環境の場合、次のベースライン更新は 2026 年 4 月 • Windows Server についても、2026 年 3 月の定例更新プ ログラムに含まれるかも（？）※公式発表無 • 別の方法で Sysmon インストール済みの場合は、OS 機能 から有効化する前にアンインストールが必要

Windows News （2026 年 2 月） https://techcommunity.microsoft.com/blog/windows-itpro-blog/windows-news-you-can-use-february-2026/4495552 より引用

• https://techcommunity.microsoft.com/blog/windows-itpro-blog/windows-news-you-can-use-february-2026/4495552?wt.mc_id=AZ-MVP-5002274

あらためて Sysmon のお話

Sysmon とは • Sysinternals ツール群の中の一つ • システム アクティビティの監視とイベントログへ の出力が可能 • Windows 標準のログを補完する目的 • 構成ファイル記述により柔軟な設定が可能

Sysmon でできること • 各種イベントや付加情報の記録 • プロセスの生成 • プロセスイメージのファイルハッシュ • プロセス追跡の為の追加情報（プロセス GUID 等） • ドライバーや DLL のロード • ディスクやボリュームの RAW 読み取りアクセス（のオープン） • ネットワーク接続（開始）のソース プロセス、IP アドレス、ポート番号等 • ファイル作成時刻の変更 • メモリアクセス • 特定のイベントを包含、除外するようなフィルタルールの記述 • ブートプロセスを含むイベントの検出

前提 • Sysmon は標準の Windows イベントログを補完 • 標準機能では出力できない（分かり難い）イベントに ついて追加でログを出力 • OS 標準のログ コントロールと組み合わせて利用 • Sysmon 単体で全てをまかなうものではない • OS の監査ポリシーを適切に構成

Windows OS の監査ポリシー • グループ ポリシー等を利用して構成 • 詳細な構成も活用

Sysmon の構成要素 • Sysmon サービス • 構成の管理（ユーザーからの入力受付）やキャプチャされ たイベントのイベントログへの出力 • Sysmon ドライバー （カーネルモード ドライバー） • イベント発生時にイベントをキャプチャ • 構成ファイル • キャプチャするイベントに関するルールを記述

Sysmon アーキテクチャー User Mode 構成ファイル （XML） EventLog （書き込み） Kernel Mode Windows Service （Sysmon.exe / Sysmon64.exe） Registry （パラメータ） Kernel Driver SysmonDrv.sys Minifilter Driver オブジェクト生成に対する コールバック登録 ETW Provider File System Process Manager Event Tracing for Windows （I/O 要求パケット） （EPROCESS 構造体） Kernel Subsystem

Sysmon サービス

Sysmon のログ出力 • ログ出力先（Log Name） • Microsoft-Windows-Sysmon/Operational • イベント ビューアー • アプリケーションとサービス ログ • Microsoft¥Windows¥Sysmon • Operational ログ

Sysmon ログ

Sysmon で検出可能なイベント ID Event 補足 1 Process Create プロセスの作成 2 File creation time プロセスによってファイルの作成時間が変更された 3 Network connection detected ネットワーク接続の検出 4 Sysmon service state change Sysmon サービスの状態が変更された 5 Process terminated プロセスの終了 6 Driver Loaded ドライバのロード 7 Image loaded イメージのロード 8 CreateRemoteThread detected プロセスが別のプロセスでスレッドを作成 9 RawAccessRead detected プロセスが ¥¥.¥ を使用してドライブの読み取りを実行 10 Process accessed プロセスが別のプロセスへアクセス（メモリ空間等）

Sysmon で検出可能なイベント ID Event 補足 11 File created ファイルの作成または上書き 12 Registry object added or deleted レジストリ キーと値の作成と削除 13 Registry value set レジストリ値の変更 14 Registry object renamed レジストリ キーと値の名前変更 15 File stream created 名前付きファイル ストリームの作成 16 Sysmon configuration change フィルター処理ルールの変更等、Sysmon 構成の変更 17 Named pipe created 名前付きパイプの作成 18 Named pipe connected クライアント・サーバー間で名前付きパイプ接続が確立 19 WMI filter WMI イベント フィルターアクティビティの検出 20 WMI consumer WMI コンシューマーの登録

Sysmon で検出可能なイベント ID Event 補足 21 WMI consumer filter WMI コンシューマーがフィルターにバインド 22 DNS query プロセスが DNS クエリを実行 23 File Delete archived ファイルの削除を検出しつつ、削除ファイルを保存 24 New content in the clipboard システム クリップボードの内容変更 25 Process image change プロセス イメージの変更（プロセス非表示手法の検出） 26 File Delete logged ファイルの削除 27 File Block Executable 実行可能ファイル (PE 形式) の作成を検出してブロック 28 File Block Shredding ファイルのシュレッディングを検出してブロック 29 File Executable Detected 新しい実行可能ファイル (PE 形式) の作成を検出 255 Error Sysmon 内部エラー

Sysmon 構成ファイル • イベントのキャプチャ、ログの出力ルールを記述 • Sysmon サービスにロードすることで設定を変更 • XML 形式 • Sysmon –s で構成ファイルの XML スキーマを確認可能

構成ファイルのスキーマ

Sysmon 構成ファイルの例

Sysmon のインストール • Sysmon のバイナリ配置 • Windows の機能として有効化 • Sysinternals から入手して配置 / WinGet でインストール • 構成ファイルとともにサービスを有効化 • sysmon –i <configuration XML file path>

Sysmon のインストール

サンプルログ出力

他プロセスからのメモリアクセス（ダンプ）をイベントログに出力 ※デモ用にサンプルとして procdump.exe からのアクセスのみログ出力 Demo

事前定義された構成ファイル（サンプル） • https://github.com/SwiftOnSecurity/sysmon-config • https://raw.githubusercontent.com/SwiftOnSecurity/sysmonconfig/refs/heads/master/sysmonconfig-export.xml • https://github.com/olafhartong/sysmon-modular • ある程度調整された定義 • https://raw.githubusercontent.com/olafhartong/sysmonmodular/master/sysmonconfig.xml • 網羅的に取得するための定義（検証用） • https://raw.githubusercontent.com/olafhartong/sysmon-modular/master/sysmonconfigexcludes-only.xml • 実験用（最小限の除外のみ） • https://raw.githubusercontent.com/olafhartong/sysmon-modular/master/sysmonconfigresearch.xml

• https://github.com/SwiftOnSecurity/sysmon-config
• https://raw.githubusercontent.com/SwiftOnSecurity/sysmon-config/refs/heads/master/sysmonconfig-export.xml
• https://github.com/olafhartong/sysmon-modular
• https://raw.githubusercontent.com/olafhartong/sysmon-modular/master/sysmonconfig.xml
• https://raw.githubusercontent.com/olafhartong/sysmon-modular/master/sysmonconfig-excludes-only.xml
• https://raw.githubusercontent.com/olafhartong/sysmon-modular/master/sysmonconfig-research.xml

OS 標準機能として利用できない環境 • Windows Server の古いバージョンなど • Sysinternals から入手、又は WinGet 等のパッ ケージマネージャー経由で配置することで利用可能 • Linux 環境向けには Sysmon for Linux 有 • Windows 版とはアーキテクチャー、実装が異なる

まとめ • Sysmon を利用することで、Windows 組み込み のイベントログより詳細な監査を実施可能 • 大量にログが出力されるための、本番環境に適用 する際はルールの精査が必要 • 可能であれば分析ツールやクラウドの利用を検討

参考資料 • Native Sysmon functionality coming to Windows • Sysmon - Sysinternals | Microsoft Learn • GitHub - SwiftOnSecurity/sysmon-config: Sysmon configuration file template with default high-quality event tracing · GitHub • GitHub - olafhartong/sysmon-modular: A repository of sysmon configuration modules · GitHub

• https://techcommunity.microsoft.com/blog/windows-itpro-blog/native-sysmon-functionality-coming-to-windows/4468112?wt.mc_id=AZ-MVP-5002274
• https://learn.microsoft.com/ja-jp/sysinternals/downloads/sysmon?wt.mc_id=AZ-MVP-5002274
• https://github.com/SwiftOnSecurity/sysmon-config
• https://github.com/olafhartong/sysmon-modular