Tapasztalataimból kiindulva nem hiszem, hogy kijelenthető: egy mindenek felett. Önmagában az kérdés, hogy melyik a jó? Amelyik könnyen kezelhető, de rossz a detektálási algoritmusa, esetleg az is jó, de a korrelációs engine nem? Vagy jól detektál, jól korrelál, de egy ELK stackből kell kibányászni az adatokat, mert a kezelőfelület nem jó?