Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 1124

Sysmon

Sysmon とは何ですか?

SysmonMicrosoft Sysinternals が提供する Windows サービスで、プロセス・ネットワーク・ファイル・レジストリ・イメージ ロードに関する詳細なテレメトリーをイベント ログに記録する。

Sysmon (System Monitor) は、Microsoft Sysinternals が提供する無償の Windows サービスで、Mark Russinovich と Thomas Garnier が開発しました。標準の Windows イベント ログを補完して、高精度なセキュリティ テレメトリーを出力します。インストールして XML で構成すると、Sysmon はコマンドライン完全およびハッシュ付きのプロセス作成 (Event ID 1)、ネットワーク接続 (ID 3)、イメージ ロード (ID 7)、DNS クエリ (ID 22)、ファイル作成 (ID 11)、レジストリ変更 (ID 12-14) などのイベントを生成します。防御側はこのログを SIEM に投入し、Sigma ルールと組み合わせて Living off the land、認証情報の窃取、永続化を検知します。SwiftOnSecurity の sysmon-config や Olaf Hartong のモジュラー構成といったコミュニティ コンフィグが、広く使われる出発点です。

  1. 01

    Sysmon の Event ID 1 と Sigma ルールを組み合わせ、svchost.exe の不審な子プロセスを検知する。

  2. 02

    Sysmon の Event ID 7 (Image Load) とモジュール ハッシュで Cobalt Strike Beacon の DLL インジェクションを狩猟する。

よくある質問

Sysmon とは何ですか?

Microsoft Sysinternals が提供する Windows サービスで、プロセス・ネットワーク・ファイル・レジストリ・イメージ ロードに関する詳細なテレメトリーをイベント ログに記録する。 サイバーセキュリティの 防御と運用 カテゴリに属します。

Sysmon とはどういう意味ですか?

Microsoft Sysinternals が提供する Windows サービスで、プロセス・ネットワーク・ファイル・レジストリ・イメージ ロードに関する詳細なテレメトリーをイベント ログに記録する。

Sysmon はどのように機能しますか?

Sysmon (System Monitor) は、Microsoft Sysinternals が提供する無償の Windows サービスで、Mark Russinovich と Thomas Garnier が開発しました。標準の Windows イベント ログを補完して、高精度なセキュリティ テレメトリーを出力します。インストールして XML で構成すると、Sysmon はコマンドライン完全およびハッシュ付きのプロセス作成 (Event ID 1)、ネットワーク接続 (ID 3)、イメージ ロード (ID 7)、DNS クエリ (ID 22)、ファイル作成 (ID 11)、レジストリ変更 (ID 12-14) などのイベントを生成します。防御側はこのログを SIEM に投入し、Sigma ルールと組み合わせて Living off the land、認証情報の窃取、永続化を検知します。SwiftOnSecurity の sysmon-config や Olaf Hartong のモジュラー構成といったコミュニティ コンフィグが、広く使われる出発点です。

Sysmon からどのように防御しますか?

Sysmon に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Sysmon の別名は何ですか?

一般的な別名: System Monitor。

関連用語