Хай комрад! Тут нет никакого "специального злого умысла", просто по какой-то причине я забыл добавить данный детект. Используем оба Event ID одновременно в работе. Зачастую в инфраструктурах нет одного из этих событий или вообще нет ни одного из них. Поэтому, Вы абсолютно правы, про 4663 забывать нельзя! И он действительно приоритетнее, если выбирать из двух. По поводу количества событий, то лучше отфильтровать не нужное (например, в том же самом winlogbeat убрать outlook, adobe, доверенные директории и т.д.) и тогда особо большой разницы в объеме хранимых данных не будет.
Хай комрад! Тут нет никакого "специального злого умысла", просто по какой-то причине я забыл добавить данный детект. Используем оба Event ID одновременно в работе. Зачастую в инфраструктурах нет одного из этих событий или вообще нет ни одного из них. Поэтому, Вы абсолютно правы, про 4663 забывать нельзя! И он действительно приоритетнее, если выбирать из двух.
По поводу количества событий, то лучше отфильтровать не нужное (например, в том же самом winlogbeat убрать outlook, adobe, доверенные директории и т.д.) и тогда особо большой разницы в объеме хранимых данных не будет.