Compartir a través de


Asociación de espacios empresariales: scripts de ejemplo de CMPivot

Se aplica a: Configuration Manager (rama actual)

Ejecute consultas de CMPivot desde Microsoft Intune centro de administración. A continuación se muestran algunas necesidades de consulta habituales y cómo se puede usar CMPivot para satisfacerlas. CMPivot usa un subconjunto del lenguaje de consulta Kusto (KQL).

A continuación se muestran algunas necesidades de consulta habituales y cómo se puede usar CMPivot para satisfacerlas. CMPivot usa un subconjunto del lenguaje de consulta Kusto (KQL).

Sistema operativo

Obtiene información del sistema operativo.

// Sample query for OS information
OperatingSystem

Aplicaciones usadas recientemente

La consulta siguiente obtiene las aplicaciones usadas recientemente (últimas 2 horas):

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

Horas de inicio del dispositivo

En la consulta siguiente se muestra cuándo se iniciaron los dispositivos en los últimos siete días:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

Espacio libre en disco

En la consulta siguiente se muestra espacio libre en disco:

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

Información del dispositivo

Mostrar dispositivo, fabricante, modelo y OSVersion:

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

Tiempos de arranque de un dispositivo

Mostrar los tiempos de arranque de los dispositivos:

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

Errores de autenticación

Busque errores de autenticación en los registros de eventos.

EventLog('Security')
| where  EventID == 4673

ProcessModule(<processname>)

Enumera todos los módulos (dll) cargados por un proceso determinado. ProcessModule es útil al buscar malware que se oculta en procesos legítimos.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

Estado del software antimalware

Obtiene el estado del software antimalware instalado en el equipo recopilado por el Get-MpComputerStatus cmdlet . La entidad se admite en Windows 10 y Server 2016 o versiones posteriores con Defender en ejecución. |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Buscar fabricante de BIOS que contenga cualquier palabra como Micro

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

Buscar archivo por su hash

Busque un archivo por hash.

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

Búsqueda de "scripts" en los registros de CCM en la última hora

En la consulta siguiente se examinan los eventos de la última hora:

CcmLog('Scripts',1h)

Búsqueda de información en el registro

Busque información del Registro.

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Pasos siguientes

Para obtener más información, consulte Launch CMPivot from the admin center (Iniciar CMPivot desde el centro de administración) Para obtener más información sobre las entidades de las consultas, consulte Microsoft Intune asociación de inquilinos: Introducción al uso de CMPivot.