Sysmon Event ID 1 — это событие создания процесса. Оно фиксирует запуск нового процесса в системе и содержит подробную информацию, такую как:

Имя и путь исполняемого файла
Идентификатор процесса (PID)
Идентификатор родительского процесса (PPID)
Командная строка запуска
Хэш исполняемого файла
Пользователь, от имени которого запущен процесс

Это событие широко используется в информационной безопасности для мониторинга подозрительной активности, выявления вредоносных процессов и анализа инцидентов.

Что такое Sysmon Event ID 1?