Azure Sentinel Kusto查询表，其中包含来自另一个查询的数据

Question

我试图找到一种方法使用Azure哨兵将所有DNS结果拉到一个基于安全警报的域。

在Security表下，它们作为JSON的一部分提供事件的域名，下面是提取该数据的表。

SecurityAlert
| where parse_json(ExtendedProperties).AnalyticDescription == "Usage of digital currency mining pool"
| extend DomainName_ = tostring(parse_json(ExtendedProperties).DomainName);

我想要做的是接受该查询，然后查询DnsEvents表以查找与表名上的域名匹配的所有查询。查询的一个示例是

DnsEvents
| where Name contains "xmr-au1.nanopool.org"

如何执行第二个查询，但如何使用来自第一个查询的数据进行筛选？

Answer 1

你可以试试这样的方法：

let domain_names = 
   SecurityAlert
   | where ExtendedProperties has 'Usage of digital currency mining pool' // this line is optional, but may improve performance
   | extend props = parse_json(ExtendedProperties).
   | where props.AnalyticDescription == "Usage of digital currency mining pool"
   | project DomainName_ = tostring(props.DomainName)
;
DnsEvents
| where Name has_any (domain_names)