Uso del operador order by
Ordene las filas de la tabla de entrada por una o más columnas.
El operador order by puede utilizar cualquier columna o varias columnas mediante un separador de coma. Cada columna puede ser ascendente o descendente. El orden predeterminado de una columna es descendente.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc