DNS-Lookup-Abfrage für eine angegebene URL:

network where dns.questions.question_name == "URL"

Abfrage eines angegebenen WMI-Namespace:

application where event.subcategory == "wmi" and wmi_trace.namespace == "namespace"

Abfrage von Dateien mit einem der angegebenen SHA256-Werte:

file where file.sha256 in ("value", "value", "value")

Abfrage von Prozessen mit dem angegebenen Prozessnamen:

process where process.name == "name"

Abfrage von Prozessen, bei denen die Befehlszeile eine bestimmte Zeichenfolge enthält:

process where process.command_line like "string"

Abfrage von Informationen zu Netzwerkverbindungen zu einer angegebenen IP-Adresse und einem angegebenen Port:

network where network.destination.ip_address == "IP" and network.destination.port == "port"