دعم أصلي ممتاز لتوقيعات مؤشرات الاختراق (IoC) المكتوبة بصيغة قواعد Sigma المبنية على YML والسهلة القراءة/الإنشاء/التحرير. (قواعد الارتباط وجميع معدّلات الحقول مدعومة باستثناء expand.)
إنشاء ملخص لجميع استخدامات الـ API، ومقاييس حول المهاجم (عناوين IP المصدر، الموقع الجغرافي، المناطق المستخدمة، وكلاء المستخدم، إلخ...) لاكتشاف النشاط غير الطبيعي دون الاعتماد على التوقيعات.