Таблица запросов Azure Sentinel Kusto с данными из другого запроса

Я пытаюсь найти способ использовать Azure Sentinel для извлечения всех результатов DNS в домен на основе предупреждения системы безопасности.

В таблице предупреждений безопасности они предоставляют доменное имя для события как часть JSON, вот таблица для извлечения этих данных.

SecurityAlert
| where parse_json(ExtendedProperties).AnalyticDescription == "Usage of digital currency mining pool"
| extend DomainName_ = tostring(parse_json(ExtendedProperties).DomainName);

Я бы хотел взять этот запрос, а затем запросить таблицу DnsEvents, чтобы найти все запросы, соответствующие имени домена в таблице Name. Пример запроса:

DnsEvents
| where Name contains "xmr-au1.nanopool.org"

Как я могу выполнить второй запрос, но использовать данные из первого запроса для фильтрации?


kql azure-sentinel
person iargue    schedule 17.03.2021    source источник

Ответы (1)


arrow_upward
5
arrow_downward

вы можете попробовать что-то вроде этого:

let domain_names = 
   SecurityAlert
   | where ExtendedProperties has 'Usage of digital currency mining pool' // this line is optional, but may improve performance
   | extend props = parse_json(ExtendedProperties).
   | where props.AnalyticDescription == "Usage of digital currency mining pool"
   | project DomainName_ = tostring(props.DomainName)
;
DnsEvents
| where Name has_any (domain_names)
person Yoni    schedule 17.03.2021