Какие преимущества и недостатки использования готовых конфигурационных файлов Sysmon?

Некоторые преимущества использования готовых конфигурационных файлов Sysmon:

• Удобство. help.ptsecurity.com Конфигурационные файлы доступны для разных устройств: контроллеров домена, рабочих станций и серверов. help.ptsecurity.com
• Автоматизация. github.com Для создания конфигурационных файлов можно использовать шаблоны и скрипты. github.com По умолчанию конфигурация содержит сопоставления для всех событий и полей Sysmon. github.com

Некоторые недостатки, которые могут быть связаны с использованием готовых конфигурационных файлов Sysmon:

• Необходимость соответствия. github.com Все события должны содержать запись в файле конфигурации разрешённых полей. github.com Если её нет, событие удаляется. github.com
• Удаление полей. github.com Любые поля, которые не содержат сопоставления в файле конфигурации, удаляются из события. github.com
• Отсутствие сопоставления имён. github.com Событиям, которые не содержат записи в файле конфигурации имён событий, предоставляется имя по умолчанию. github.com

Таким образом, использование готовых конфигурационных файлов Sysmon может упростить настройку, но имеет некоторые ограничения, связанные с требованиями к конфигурации и её соответствию определённым условиям.