Esaminando gli eventi generati da Sysmon sulla macchina in uso un amministratore può identificare attività anomale o dannose, comprendere come è stato utilizzato il sistema, capire come eventuali intrusi hanno agito sul sistema.
Permette di monitorare e registrare l'attività del sistema nel registro eventi di Windows e fornisce informazioni dettagliate sulla creazione dei processi, sulle connessioni di rete, sulla creazione e la modifica dei file.