Ага, понял теперь, почему ротация токенов — это не просто рекомендация, а прям необходимость. Если не обновлять эти штуки, реально можно пару шагов к сливу доступа сделать. Правила Sigma с Falco смотрятся как нормальный щит, чтобы ловить всё подозрительное, а не ждать пока кто-то уже взломал. Надо себе тоже как-то настроить, чтобы не было проблем потом.