[text] q

Viewer

  1. (process.path ends with '\\powershell.exe' OR process.path ends with '\\pwsh.exe') AND (process.parent_path ends with '\\wscript.exe' OR process.parent_path ends with '\\cscript.exe' OR process.parent_path ends with '\\mshta.exe' OR process.parent_path ends with '\\winword.exe' OR process.parent_path ends with '\\excel.exe') AND process.parent_command_line contains NOT 'AnyConnect' AND process.command_line contains NOT '\\Tanium\\Tanium Client\\Downloads\\Action' AND process.parent_command_line contains NOT '\\Tanium\\Tanium Client\\Patch\\'

Editor

You can edit this paste and save as new: