Připojení tenanta: Ukázkové skripty CMPivot
Platí pro: Configuration Manager (Current Branch)
Spouštění dotazů CMPivot z centra pro správu Microsoft Intune. Níže je uvedeno několik běžných potřeb dotazů a způsob, jak na tyto potřeby reagovat pomocí CMPivotu. CMPivot používá podmnožinu jazyka Kusto Query Language (KQL).
Níže je uvedeno několik běžných potřeb dotazů a způsob, jak na tyto potřeby reagovat pomocí CMPivotu. CMPivot používá podmnožinu jazyka Kusto Query Language (KQL).
Operační systém
Získá informace o operačním systému.
// Sample query for OS information
OperatingSystem
Naposledy použité aplikace
Následující dotaz získá nedávno použité aplikace (poslední 2 hodiny):
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
Časy spuštění zařízení
Následující dotaz ukazuje, kdy byla zařízení spuštěna v posledních sedmi dnech:
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
Volné místo na disku
Následující dotaz ukazuje volné místo na disku:
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
Informace o zařízení
Zobrazit zařízení, výrobce, model a OSVersion:
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
Časy spouštění zařízení
Zobrazit časy spuštění pro zařízení:
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
Selhání ověřování
V protokolech událostí vyhledejte selhání ověřování.
EventLog('Security')
| where EventID == 4673
ProcessModule(<název_>procesu)
Vytvoří výčet všech modulů (dll) načtených daným procesem. ProcessModule je užitečný při vyhledávání malwaru, který se skrývá v legitimních procesech.
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
Stav antimalwarového softwaru
Získá stav antimalwarového softwaru nainstalovaného v počítači shromážděných rutinou Get-MpComputerStatus . Entita je podporovaná na Windows 10 a Serveru 2016 nebo novějším se spuštěným defenderem. |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
Najít výrobce systému BIOS, který obsahuje jakékoli slovo, jako je Micro
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
Vyhledání souboru podle hodnoty hash
Vyhledejte soubor podle hodnoty hash.
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
Vyhledání skriptů v protokolech CCM za poslední hodinu
Následující dotaz se podívá na události za poslední 1 hodinu:
CcmLog('Scripts',1h)
Vyhledání informací v registru
Vyhledejte informace o registru.
// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
Další kroky
Další informace najdete v tématu Spuštění nástroje CMPivot z Centra pro správu. Další informace o entitách pro dotazy najdete v tématu Microsoft Intune připojení tenanta: Přehled použití nástroje CMPivot.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro