Azure のログ分析/Sentinel で Kusto を使用して、フィールドにリストの値が含まれているかどうかを確認しようとしています。
リストにはトップ レベル ドメインが含まれていますが、これらのトップ レベル ドメインのサブドメインにのみ一致が必要です。リストの値 example.com は、forum.example.com や api.example.com などの値と一致する必要があります。
次のコードを取得しましたが、完全一致のみを行います。
let domains = dynamic(["example.com", "amazon.com", "microsoft.com", "google.com"]);
DeviceNetworkEvents
| where RemoteUrl in~ (domains)
| project TimeGenerated, DeviceName, InitiatingProcessAccountUpn, RemoteUrl
私は endwith を試しましたが、それをリストで動作させることができませんでした。