Маскирование

Для передачи обратной косой черты в аргументе команды Smart Monitor Language (далее - SML), необходимо экранировать обратную косую черту, используя в поисковом запросе строку с двойной косой чертой (\\). Пример поискового запроса представлен ниже:

source sysmon_operational
| search command_line="C:\\Windows\\cmd.exe dir /s c:\\ProgramFiles >> files.txt"

Обратите внимание!

Для поиска по точному совпадению при выполнении запроса поле должно иметь тип keyword. Если поле имеет тип text, который используется по умолчанию при индексировании данных, то необходимо при поиске явно указать тип keyword. На примере выше поисковый запрос примет следующий вид:

source sysmon_operational
| search command_line.keyword="C:\\Windows\\cmd.exe dir /s c:\\ProgramFiles >> files.txt"

Подробнее с типами полей можно ознакомиться в статье.