Sysmon (System Monitor) ist ein kostenloses Windows-Werkzeug von Microsoft Sysinternals, das detaillierte Informationen über Prozesserstellungen, Netzwerkverbindungen, Dateiänderungen und Registry-Zugriffe protokolliert. Die Logs lassen sich an ein SIEM weiterleiten und dort korrelieren. Du konfigurierst Sysmon über eine XML-Datei, die festlegt, welche Ereignisse erfasst werden. Im Threat Hunting und in der Incident Response liefert Sysmon wertvolle Telemetriedaten. Im ISMS ist Sysmon eine Logging-Kontrolle für Endpunkte und ergänzt EDR-Lösungen um zusätzliche Sichtbarkeit.