Microsoft Sysmon ist ein kostenloses Sysinternals-Tool von Microsoft, das dabei hilft Windows-Server zu überwachen. Das Befehlszeilentool kann zur Überwachung einen Systemdienst installieren, über den Sysmon Daten auslesen kann.  Außerdem kann das Tool auch Ereignisse in der Windows-Ereignisanzeige erstellen. Folgende Bereiche lassen sich in Windows überwachen. Sysmon umfasst die folgenden Funktionen:

• Protokolliert die Prozesserstellung mit vollständiger Befehlszeile sowohl für den aktuellen als auch für den übergeordneten Prozess.
• Zeichnet den Hash von Prozessabbilddateien mit SHA1 (Standard), MD5, SHA256 oder IMPHASH auf.
• Es können mehrere Hashes gleichzeitig verwendet werden.
• Schließt eine Prozess-GUID in Prozesserstellungsereignisse ein, um eine Korrelation von Ereignissen zu ermöglichen, auch wenn Windows Prozess-IDs wiederverwendet.
• Beinhaltet eine Sitzungs-GUID in jedem Ereignis, um die Korrelation von Ereignissen auf derselben Anmeldesitzung zu ermöglichen.
• Protokolliert das Laden von Treibern oder DLLs mit deren Signaturen und Hashes.
• Protokolliert Öffnungen für rohen Lesezugriff auf Festplatten und Volumes.
• Protokolliert optional Netzwerkverbindungen, einschließlich des Quellprozesses jeder Verbindung, IP-Adressen, Portnummern, Hostnamen und Portnamen.
• Erkennt Änderungen der Dateierstellungszeit
• Generiert Ereignisse zu einem frühen Zeitpunkt des Boot-Prozesses, um Aktivitäten zu erfassen, die selbst von ausgeklügelter Kernel-Mode-Malware durchgeführt werden.