Я пытаюсь найти способ использовать Azure Sentinel для извлечения всех результатов DNS в домен на основе предупреждения системы безопасности.
В таблице предупреждений безопасности они предоставляют доменное имя для события как часть JSON, вот таблица для извлечения этих данных.
SecurityAlert
| where parse_json(ExtendedProperties).AnalyticDescription == "Usage of digital currency mining pool"
| extend DomainName_ = tostring(parse_json(ExtendedProperties).DomainName);
Я бы хотел взять этот запрос, а затем запросить таблицу DnsEvents, чтобы найти все запросы, соответствующие имени домена в таблице Name. Пример запроса:
DnsEvents
| where Name contains "xmr-au1.nanopool.org"
Как я могу выполнить второй запрос, но использовать данные из первого запроса для фильтрации?