Психанул… Не приходя в сознание пильнул скрипт, который немного помогает понять какие типы объектов в каких полях лежат (в привязке к категории событий)
Принцип работы:
1.  Перебирает все formula.xp в заданной директории.
2.  В тексте формул пытается найти нужный тип объекта (ip, domain, hash, registry, path, email). В основном все работает благодаря тому, что ребята из PT в каждой формуле добавляют примеры событий.
3.  Если найти удалось: Запоминает event_src.category, путь до формулы.
4.  Проверяет, используются ли в этой формуле ожидаемые поля, где данный тип объекта может лежать.
5.  Если тип объекта найден и в формуле используются ожидаемые поля, выводит BASE_FIELDS_FOUND. Если объект найден, но поля не используются, видимо этот тип объекта лежит в каких-то еще полях, или вовсе не нормализован. В таком случае выводит в NO_BASE_FIELDS.
6.  В конце выводит статистику по тому сколько формул и в какой категории событий нашлось.
Чтоб заработало надо:
1.  Сделать выгрузку нормализации от PT из PT KB
2.  В начале кода поменять OBJECT_TYPE
3.  Указать в FORMULAS_DIR путь до normalization-formulas\formulas из экспортированного архива.
Скрипт поставляется as-is без гарантий и доработок. Скрипт более-мене детектит ip, hash, email, отвратно детектит domain (все сводится к получению категорий, где используются поля fqdn) и еще более отвратно path.
Зачем нужен этот говнокод - чтобы меньше лопатить руками формулы.