Usar o operador order by
Classifica as linhas da tabela de entrada por uma ou mais colunas.
O operador order by pode utilizar qualquer coluna ou várias colunas usando um separador de vírgula. Cada coluna pode ser crescente ou decrescente. A ordem padrão de uma coluna é decrescente.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc