По мне данная схема логичнее и более полно отображает суть мониторинга за событиями в SOC. Есть механизмы, что собирают информацию с сети, с машин и с пользователей и это уже отправляется в SIEM:
Only those users with full accounts are able to leave comments. Log in, please.
Технология EDR, как элемент ядерной триады SOC