@A9_4 تقدر برضو تسوي detect لها عن طريق Sysmon-logs Event-id-2 Event لها أكثر من field اللي يهمنا في الحالة هذي هي target_filename و Image و Creation

@A9_4 تقدر برضو تسوي detect لها عن طريق Sysmon-logs Event-id-2 Event لها أكثر من field اللي يهمنا في الحالة هذي هي target_filename و Image و Creation