Как бы вы отслеживали/предупреждали об одном или нескольких конкретных вызовах API ОС Windows в корпоративной сети?

Я пытаюсь придумать решение для мониторинга для MITRE ATT&CK Technique T1115 (данные буфера обмена). Данные можно получить с помощью Powershell (Get-Clipboard) или с помощью Windows API (OpenClipboard() или GetClipboardData). Ведение журнала Scriptblock позволит мне обнаружить использование Powershell, но как вы можете отслеживать эти конкретные вызовы API?

Мне не удалось найти решение для отслеживания конкретных вызовов API. Самое глубокое, что я могу изучить, — это уровень процесса, но отслеживание конкретных вызовов API — загадка для меня.