Pastein: <group name="sysmon_custom,windows,">  <rule id="100100" level="2"> <decoded_as>json</decoded

Загрузка данных
<group name="sysmon_custom,windows,">

  <!-- Базовое правило: ловим любое Sysmon-событие -->
  <rule id="100100" level="2">
    <decoded_as>json</decoded_as>
    <field name="win.system.providerName">Microsoft-Windows-Sysmon</field>
    <description>Sysmon: событие получено (EventID $(win.system.eventID))</description>
    <group>sysmon,</group>
  </rule>

  <!-- EventID 1: Process Create -->
  <rule id="100101" level="5">
    <if_sid>100100</if_sid>
    <field name="win.system.eventID">^1$</field>
    <description>Sysmon EID 1 - Process Create: $(win.eventdata.image) от пользователя $(win.eventdata.user)</description>
    <group>sysmon_event1,process_creation,</group>
  </rule>

  <!-- EventID 3: Network Connection -->
  <rule id="100103" level="4">
    <if_sid>100100</if_sid>
    <field name="win.system.eventID">^3$</field>
    <description>Sysmon EID 3 - Network Connection: $(win.eventdata.image)</description>
    <group>sysmon_event3,network,</group>
  </rule>

  <!-- EventID 7: Image Loaded (загрузка DLL) -->
  <rule id="100107" level="3">
    <if_sid>100100</if_sid>
    <field name="win.system.eventID">^7$</field>
    <description>Sysmon EID 7 - Image Loaded: $(win.eventdata.imageLoaded)</description>
    <group>sysmon_event7,</group>
  </rule>

  <!-- EventID 11: File Create -->
  <rule id="100111" level="4">
    <if_sid>100100</if_sid>
    <field name="win.system.eventID">^11$</field>
    <description>Sysmon EID 11 - File Created: $(win.eventdata.targetFilename)</description>
    <group>sysmon_event11,file_creation,</group>
  </rule>

  <!-- EventID 13: Registry Value Set -->
  <rule id="100113" level="4">
    <if_sid>100100</if_sid>
    <field name="win.system.eventID">^13$</field>
    <description>Sysmon EID 13 - Registry Value Set: $(win.eventdata.targetObject)</description>
    <group>sysmon_event13,registry,</group>
  </rule>

  <!-- EventID 22: DNS Query -->
  <rule id="100122" level="3">
    <if_sid>100100</if_sid>
    <field name="win.system.eventID">^22$</field>
    <description>Sysmon EID 22 - DNS Query: $(win.eventdata.queryName)</description>
    <group>sysmon_event22,dns,</group>
  </rule>

  <!-- ============ ПРИМЕРЫ ПРАВИЛ ДЛЯ ПОДОЗРИТЕЛЬНОЙ АКТИВНОСТИ ============ -->

  <!-- PowerShell запускает cmd.exe или другие подозрительные процессы -->
  <rule id="100201" level="10">
    <if_sid>100101</if_sid>
    <field name="win.eventdata.parentImage">powershell\.exe</field>
    <field name="win.eventdata.image">cmd\.exe|whoami\.exe|net\.exe|nslookup\.exe</field>
    <description>Подозрительно: PowerShell запустил $(win.eventdata.image)</description>
    <group>attack,powershell,</group>
  </rule>

  <!-- Запуск процесса из временной папки -->
  <rule id="100202" level="9">
    <if_sid>100101</if_sid>
    <field name="win.eventdata.image">\\\\Temp\\\\|\\\\AppData\\\\Local\\\\Temp</field>
    <description>Подозрительно: запуск из временной папки $(win.eventdata.image)</description>
    <group>attack,suspicious_process,</group>
  </rule>

  <!-- Создание исполняемого файла -->
  <rule id="100203" level="8">
    <if_sid>100111</if_sid>
    <field name="win.eventdata.targetFilename">\.exe$|\.dll$|\.ps1$|\.bat$</field>
    <description>Создан исполняемый файл: $(win.eventdata.targetFilename)</description>
    <group>attack,file_drop,</group>
  </rule>

</group>
Больше возможностей при регистрации:
