1

我正在尝试找到一种方法来使用 Azure Sentinel 将所有 DNS 结果拉到基于安全警报的域中。

在安全警报表下,它们提供了作为 JSON 一部分的事件的域名,这是用于提取该数据的表。

SecurityAlert
| where parse_json(ExtendedProperties).AnalyticDescription == "Usage of digital currency mining pool"
| extend DomainName_ = tostring(parse_json(ExtendedProperties).DomainName);

我想做的是获取该查询,然后查询 DnsEvents 表以查找与表 Name 上的域名匹配的所有查询。查询的一个例子是

DnsEvents
| where Name contains "xmr-au1.nanopool.org"

如何执行第二个查询但使用第一个查询中的数据进行过滤?

4

1 回答 1

5

你可以尝试这样的事情:

let domain_names = 
   SecurityAlert
   | where ExtendedProperties has 'Usage of digital currency mining pool' // this line is optional, but may improve performance
   | extend props = parse_json(ExtendedProperties).
   | where props.AnalyticDescription == "Usage of digital currency mining pool"
   | project DomainName_ = tostring(props.DomainName)
;
DnsEvents
| where Name has_any (domain_names)
于 2021-03-17T23:00:13.720 回答