Mandantenanfügung: CMPivot-Beispielskripts

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Führen Sie CMPivot-Abfragen aus Microsoft Intune Admin Center aus. Im Folgenden finden Sie einige allgemeine Abfrageanforderungen und wie CMPivot verwendet werden kann, um diese Anforderungen zu erfüllen. CMPivot verwendet einen Teil der Kusto-Abfragesprache (KQL).

Im Folgenden finden Sie einige allgemeine Abfrageanforderungen und wie CMPivot verwendet werden kann, um diese Anforderungen zu erfüllen. CMPivot verwendet einen Teil der Kusto-Abfragesprache (KQL).

Betriebssystem

Ruft Betriebssysteminformationen ab.

// Sample query for OS information
OperatingSystem

Zuletzt verwendete Anwendungen

Die folgende Abfrage ruft zuletzt verwendete Anwendungen (letzte 2 Stunden) ab:

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

Startzeiten des Geräts

Die folgende Abfrage zeigt, wann die Geräte in den letzten sieben Tagen gestartet wurden:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

Freier Speicherplatz

Die folgende Abfrage zeigt freien Speicherplatz an:

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

Geräteinformationen

Gerät, Hersteller, Modell und OSVersion anzeigen:

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

Startzeiten für ein Gerät

Startzeiten für Geräte anzeigen:

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

Authentifizierungsfehler

Suchen Sie in den Ereignisprotokollen nach Authentifizierungsfehlern.

EventLog('Security')
| where  EventID == 4673

ProcessModule(<processname>)

Listet alle Module (DLLs) auf, die von einem bestimmten Prozess geladen wurden. ProcessModule ist nützlich bei der Suche nach Schadsoftware, die sich in legitimen Prozessen versteckt.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

antischadsoftware status

Ruft die status der Antischadsoftware ab, die auf dem Computer installiert ist, der Get-MpComputerStatus vom Cmdlet erfasst wird. Die Entität wird unter Windows 10 und Server 2016 oder höher unterstützt, wobei Defender ausgeführt wird. |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Bios-Hersteller finden, der ein beliebiges Wort wie Micro enthält

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

Datei anhand ihres Hashs suchen

Suchen Sie nach einer Datei nach Hash.

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

Suchen von "Skripts" in den CCM-Protokollen der letzten Stunde

Die folgende Abfrage untersucht Ereignisse in den letzten 1 Stunden:

CcmLog('Scripts',1h)

Suchen von Informationen in der Registrierung

Suchen Sie nach Registrierungsinformationen.

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Nächste Schritte

Weitere Informationen finden Sie unter Starten von CMPivot über das Admin Center. Weitere Informationen zu Entitäten für Ihre Abfragen finden Sie unter Microsoft Intune Mandantenanfügung: Übersicht über die CMPivot-Verwendung.