Asociación de espacios empresariales: scripts de ejemplo de CMPivot
Se aplica a: Configuration Manager (rama actual)
Ejecute consultas de CMPivot desde Microsoft Intune centro de administración. A continuación se muestran algunas necesidades de consulta habituales y cómo se puede usar CMPivot para satisfacerlas. CMPivot usa un subconjunto del lenguaje de consulta Kusto (KQL).
A continuación se muestran algunas necesidades de consulta habituales y cómo se puede usar CMPivot para satisfacerlas. CMPivot usa un subconjunto del lenguaje de consulta Kusto (KQL).
Sistema operativo
Obtiene información del sistema operativo.
// Sample query for OS information
OperatingSystem
Aplicaciones usadas recientemente
La consulta siguiente obtiene las aplicaciones usadas recientemente (últimas 2 horas):
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
Horas de inicio del dispositivo
En la consulta siguiente se muestra cuándo se iniciaron los dispositivos en los últimos siete días:
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
Espacio libre en disco
En la consulta siguiente se muestra espacio libre en disco:
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
Información del dispositivo
Mostrar dispositivo, fabricante, modelo y OSVersion:
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
Tiempos de arranque de un dispositivo
Mostrar los tiempos de arranque de los dispositivos:
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
Errores de autenticación
Busque errores de autenticación en los registros de eventos.
EventLog('Security')
| where EventID == 4673
ProcessModule(<processname>)
Enumera todos los módulos (dll) cargados por un proceso determinado. ProcessModule es útil al buscar malware que se oculta en procesos legítimos.
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
Estado del software antimalware
Obtiene el estado del software antimalware instalado en el equipo recopilado por el Get-MpComputerStatus cmdlet . La entidad se admite en Windows 10 y Server 2016 o versiones posteriores con Defender en ejecución. |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
Buscar fabricante de BIOS que contenga cualquier palabra como Micro
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
Buscar archivo por su hash
Busque un archivo por hash.
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
Búsqueda de "scripts" en los registros de CCM en la última hora
En la consulta siguiente se examinan los eventos de la última hora:
CcmLog('Scripts',1h)
Búsqueda de información en el registro
Busque información del Registro.
// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
Pasos siguientes
Para obtener más información, consulte Launch CMPivot from the admin center (Iniciar CMPivot desde el centro de administración) Para obtener más información sobre las entidades de las consultas, consulte Microsoft Intune asociación de inquilinos: Introducción al uso de CMPivot.