我试图在 Microsoft Defender 中加入 KQL 中的两个表。
这些表没有匹配的列,但是它们有匹配的字段。
LeftTable:EmailEventsField:RecipientEmailAddress
右表:IdentityInfo字段:AccountUpn
我使用的查询如下
EmailEvents
| where EmailDirection == "Inbound"
| where Subject == "invoice" or SenderFromAddress == "testtest@outlook.com"
| project RecipientEmailAddress, Subject, InternetMessageId, SenderFromAddress
| join kind=inner (IdentityInfo
| distinct AccountUpn, AccountDisplayName, JobTitle , Department, City, Country)
on $left.RecipientEmailAddress -- $right.AccountUpn
我看到的错误
语义错误错误消息联接:在此上下文中只允许列实体或相等表达式。如何解决修复查询中的语义错误
有人可以帮助我不知道我在哪里错了。
0
尝试替换此:
on $left.RecipientEmailAddress--$right.AccountUpn
与此相关:
on $left.RecipientEmailAddress == $right.AccountUpn
本站系公益性非盈利分享网址,本文来自用户投稿,不代表码文网立场,如若转载,请注明出处
评论列表(88条)