кстати. У меня тут довеча вышел спор с одним безопасником. Товарщ утверждал что при наличии докрученого виндового аудита sysmon нафиг не нужен потому что все есть в аудите. Скажем, то что по вопросу аудита создания процесса это еще правда, то по остальным я не сравнивал. Просто изначально начал юзать sysmon, что скажите?
Буду необъективен, отвечая на данный вопрос, так как уже почти 5 лет занимаюсь монитоингом эндпоинтов на базе edr. Безусловно сисмон может больше, но я знаю много кейсов, где и сисмон беспомощен, не говоря уж о виндовом аудите