Interroger les recherches DNS pour une URL spécifiée :

network where dns.questions.question_name == "URL"

Interroger un espace de noms WMI spécifié :

application where event.subcategory == "wmi" and wmi_trace.namespace == "namespace"

Interroger les fichiers avec l'une des valeurs SHA256 spécifiées :

file where file.sha256 in ("value", "value", "value")

Interroger les processus portant le nom de processus spécifié :

process where process.name == "name"

Interroger les processus dans lesquels la ligne de commande contient une chaîne spécifiée :

process where process.command_line like "string"

Interroger les informations sur les connexions réseau à une adresse IP spécifiée sur un port spécifié :

network where network.destination.ip_address == "IP" and network.destination.port == "port"