Microsoft actualiza Sysinternals con mejoras clave en Process Monitor, Sysmon y ZoomIt

Microsoft

Published:

Reading time: 3 min.

Microsoft lanzó una nueva ronda de actualizaciones para la suite Sysinternals Suite, incorporando mejoras importantes en herramientas ampliamente utilizadas por administradores de sistemas, equipos SOC, especialistas forenses y profesionales DevOps. Entre las novedades más destacadas aparecen optimizaciones en Process Monitor, nuevas capacidades para Sysmon y mejoras visuales en ZoomIt.

Estas herramientas siguen siendo un estándar de facto para troubleshooting avanzado, análisis de procesos, monitoreo de eventos y diagnóstico profundo en entornos Windows y Linux.

¿Qué es Sysinternals y por qué sigue siendo imprescindible?

Sysinternals Suite es una colección de herramientas avanzadas desarrollada originalmente por Mark Russinovich y actualmente mantenida por Microsoft.

La suite incluye utilidades críticas como:

  • Process Explorer
  • Process Monitor
  • Sysmon
  • Autoruns
  • TCPView
  • PsExec
  • ProcDump
  • BgInfo
  • ZoomIt

Estas herramientas permiten:

  • Analizar procesos y servicios
  • Detectar persistencia maliciosa
  • Auditar actividad del sistema
  • Diagnosticar problemas de rendimiento
  • Investigar incidentes de seguridad
  • Realizar troubleshooting avanzado

Principales novedades de las últimas actualizaciones

Process Monitor 4.x mejora rendimiento y análisis

Process Monitor recibió una de las actualizaciones más importantes recientes.

Entre los cambios destacados se encuentran:

  • Mejoras en el motor de búsqueda y filtrado
  • Optimización en el conteo de eventos
  • Mejoras de rendimiento en trazas extensas
  • Nueva columna con timestamp de inicio del proceso
  • Coloreo visual de eventos por categoría
  • Mejor experiencia de interfaz

Microsoft también agregó mejoras visuales para identificar rápidamente eventos relacionados con:

  • Registry
  • File System
  • Network
  • Threads
  • Profiling

Esto facilita enormemente el análisis durante troubleshooting complejo o investigaciones forenses.

Sysmon sigue evolucionando para equipos Blue Team

Sysmon continúa posicionándose como una de las herramientas más utilizadas para telemetría de seguridad avanzada.

Las últimas versiones incorporan:

  • Compatibilidad mejorada con kernels Linux modernos
  • Correcciones para Linux Kernel 6.6+
  • Mejoras en filtros
  • Nuevos eventos de monitoreo
  • Protección frente a técnicas de borrado de archivos
  • Mejor manejo de reglas include/exclude

Una función particularmente interesante fue la incorporación de FileBlockShredding, orientada a impedir técnicas de destrucción de evidencias mediante herramientas de wiping como SDelete.

En entornos SOC y SIEM, Sysmon sigue siendo una pieza fundamental para:

  • Detección de movimiento lateral
  • Persistencia
  • Evasión
  • PowerShell sospechoso
  • Creación de procesos
  • Inyección de DLLs
  • Cambios en el registro

ZoomIt añade nuevas capacidades para presentaciones técnicas

ZoomIt también recibió mejoras relevantes.

La versión más reciente agrega:

  • LiveDraw sobre ventanas activas
  • Mejoras de anotación en tiempo real
  • Función DemoType
  • Mejoras visuales para sesiones técnicas y capacitación

Estas capacidades son particularmente útiles para:

  • Presentaciones técnicas
  • Demos DevOps
  • Capacitaciones SOC
  • Troubleshooting remoto
  • Documentación visual

Sysinternals también mejora soporte Linux

Uno de los puntos más interesantes es que Microsoft sigue expandiendo soporte para Linux mediante herramientas como:

  • Sysmon for Linux
  • ProcDump for Linux

Esto refleja claramente la estrategia híbrida actual de Microsoft, especialmente en entornos cloud y observabilidad.

En versiones recientes se añadieron:

  • Correcciones de estabilidad
  • Monitoreo de mmap y munmap
  • Reinicio automático de servicios
  • Compatibilidad con kernels modernos

Consideraciones de seguridad al usar Sysinternals

Aunque Sysinternals es extremadamente útil, muchas herramientas son consideradas sensibles por soluciones EDR y equipos de seguridad.

Especialmente:

  • PsExec
  • ProcDump
  • Process Explorer
  • Process Monitor

Esto ocurre porque múltiples grupos ofensivos utilizan estas herramientas para:

  • Movimiento lateral
  • Dumping de credenciales
  • Persistencia
  • Reconocimiento interno

En comunidades de sysadmin y Blue Team se recomienda:

  • Mantener siempre actualizada la suite
  • Ejecutar herramientas desde ubicaciones controladas
  • Utilizar Sysinternals Live cuando sea posible
  • Restringir uso mediante políticas internas
  • Monitorear ejecución con SIEM/EDR

Cómo descargar Sysinternals oficialmente

Microsoft mantiene la suite completa desde su sitio oficial:

También es posible utilizar:

\\live.sysinternals.com\tools\

Esto permite ejecutar herramientas directamente desde la infraestructura de Microsoft sin instalación local.

Herramientas más recomendadas para administradores y SRE

Herramienta

Uso principal

Process Explorer

Reemplazo avanzado del Task Manager

Process Monitor

Troubleshooting profundo

Sysmon

Telemetría y seguridad

Autoruns

Auditoría de persistencia

TCPView

Monitoreo de conexiones

ProcDump

Captura de dumps

PsExec

Administración remota

ZoomIt

Presentaciones técnicas

Conclusión

Las nuevas actualizaciones de Sysinternals Suite consolidan nuevamente a la suite como una herramienta esencial para administradores Windows, equipos de seguridad y profesionales DevOps/SRE.

La evolución constante de Process Monitor y Sysmon demuestra que Microsoft continúa invirtiendo seriamente en observabilidad, troubleshooting y ciberseguridad avanzada.

Para cualquier entorno corporativo moderno, mantener Sysinternals actualizado ya no es opcional: es una práctica recomendada tanto para diagnóstico como para defensa activa.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles