Не скажу, что всё так однозначно. Да, поведенческие паттерны и корреляция логов дают какой-то толк, но постоянно что-то новое придумывают, и часто приходится по несколько раз правила править. SIEM — это скорее работа для тех, кто готов долго вкалывать, иначе шум и false positive просто достанут. Даже с этим светом в темноте не всегда понятно, что реально угроза, а что ложный звонок.