1. На этапе, когда возможностей edr и прочих хостовых/облачных средств защиты недостаточно, появляются риски например в бизнес логике (критичные кастомные сервисы типа биллингов, сложные процессы в ad, куча взаимосвязанных сервисов), которые нужно митигировать
Upd. Иногда оно внедряется чисто для комплаенсу, но це моветон
2. Можно нанять коммерческий soc в качестве l1-l2, если компетенций и возможностей для реагирования у it достаточно, но качество таких соков обычно так себе. К нам на собесы приходят чуваки из таких соков, и качество у них зачастую почредственное. То что вы говорите это скорее про сыязку siem-soar, оно действительно хорошо автоматизирует и упрощает процессы, но все равно нужны спецы, которые ее будут настраивать, внедрять и обслуживать, иначе это пустая трата огромных денег

правильный вопрос. когда вам надо выбрать сканер - да, имеет смысл задавать вопросы в такой формулировке. а когда вам непонятно, надо ли вам покупать сканер, робот-пылесос или вообще кофемашину и вы пытаетесь получить отзывы именно о сканере - с большой долей вероятности вы купите не то и потом будете сокрушаться, что "чота он херово сосет. да и кофе приходится у секретарши просить сварить"

спорный тезис. на моем опыта нужда появляется сильно раньше и это не настолько связано с кол-вом эндпоинтов, однако опредленный уровень зрелости и, главное, понимания, на кой хрен оно вам надо, необходимы