Attachement de locataire : exemples de scripts CMPivot

S’applique à : Configuration Manager (branche actuelle)

Exécutez des requêtes CMPivot à partir de Microsoft Intune centre d’administration. Voici quelques-uns des besoins courants associés aux requêtes et comment utiliser CMPivot pour y répondre. CMPivot utilise un sous-ensemble du langage de requête Kusto (KQL).

Voici quelques-uns des besoins courants associés aux requêtes et comment utiliser CMPivot pour y répondre. CMPivot utilise un sous-ensemble du langage de requête Kusto (KQL).

Système d’exploitation

Obtient des informations sur le système d’exploitation.

// Sample query for OS information
OperatingSystem

Applications récemment utilisées

La requête suivante obtient les applications récemment utilisées (2 dernières heures) :

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

Heures de démarrage de l’appareil

La requête suivante indique quand les appareils ont été démarrés au cours des sept derniers jours :

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

Espace disque libre

La requête suivante montre l’espace disque libre :

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

Informations sur l’appareil

Afficher l’appareil, le fabricant, le modèle et OSVersion :

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

Durées de démarrage d’un appareil

Afficher les heures de démarrage des appareils :

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

Échecs d’authentification

Recherchez les échecs d’authentification dans les journaux des événements.

EventLog('Security')
| where  EventID == 4673

ProcessModule(<nom_>processus)

Énumère tous les modules (dll) chargés par un processus donné. ProcessModule est utile lors de la recherche de logiciels malveillants qui se cachent dans des processus légitimes.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

Logiciel anti-programme malveillant status

Obtient la status des logiciels anti-programme malveillant installés sur l’ordinateur collectés par l’applet de Get-MpComputerStatus commande. L’entité est prise en charge sur Windows 10 et Server 2016 ou version ultérieure avec Defender en cours d’exécution. |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Rechercher le fabricant du BIOS qui contient n’importe quel mot comme Micro

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

Rechercher le fichier par son hachage

Recherchez un fichier par hachage.

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

Recherchez « Scripts » dans les journaux CCM de la dernière heure

La requête suivante examine les événements de la dernière heure :

CcmLog('Scripts',1h)

Rechercher des informations dans le registre

Recherchez les informations du Registre.

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Étapes suivantes

Pour plus d’informations, consultez Lancer CMPivot à partir du centre d’administration Pour plus d’informations sur les entités de vos requêtes, consultez Microsoft Intune attachement de locataire : vue d’ensemble de l’utilisation de CMPivot.