diff --git a/src/es_client.py b/src/es_client.py
index af2877e..48b5f17 100644
--- a/src/es_client.py
+++ b/src/es_client.py
@@ -17,7 +17,7 @@ def fetch_malicious_events(es_client, preprocessors, target_index_date_str):
         query = {
             "query": {
                 "term": {
-                    "ai_analysis.result.keyword": "malicious" 
+                    "ai_analysis.result": "malicious" 
                 }
             },
         }