Attachement de locataire : exemples de scripts CMPivot
S’applique à : Configuration Manager (branche actuelle)
Exécutez des requêtes CMPivot à partir de Microsoft Intune centre d’administration. Voici quelques-uns des besoins courants associés aux requêtes et comment utiliser CMPivot pour y répondre. CMPivot utilise un sous-ensemble du langage de requête Kusto (KQL).
Voici quelques-uns des besoins courants associés aux requêtes et comment utiliser CMPivot pour y répondre. CMPivot utilise un sous-ensemble du langage de requête Kusto (KQL).
Système d’exploitation
Obtient des informations sur le système d’exploitation.
// Sample query for OS information
OperatingSystem
Applications récemment utilisées
La requête suivante obtient les applications récemment utilisées (2 dernières heures) :
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
Heures de démarrage de l’appareil
La requête suivante indique quand les appareils ont été démarrés au cours des sept derniers jours :
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
Espace disque libre
La requête suivante montre l’espace disque libre :
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
Informations sur l’appareil
Afficher l’appareil, le fabricant, le modèle et OSVersion :
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
Durées de démarrage d’un appareil
Afficher les heures de démarrage des appareils :
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
Échecs d’authentification
Recherchez les échecs d’authentification dans les journaux des événements.
EventLog('Security')
| where EventID == 4673
ProcessModule(<nom_>processus)
Énumère tous les modules (dll) chargés par un processus donné. ProcessModule est utile lors de la recherche de logiciels malveillants qui se cachent dans des processus légitimes.
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
Logiciel anti-programme malveillant status
Obtient la status des logiciels anti-programme malveillant installés sur l’ordinateur collectés par l’applet de Get-MpComputerStatus
commande. L’entité est prise en charge sur Windows 10 et Server 2016 ou version ultérieure avec Defender en cours d’exécution. |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
Rechercher le fabricant du BIOS qui contient n’importe quel mot comme Micro
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
Rechercher le fichier par son hachage
Recherchez un fichier par hachage.
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
Recherchez « Scripts » dans les journaux CCM de la dernière heure
La requête suivante examine les événements de la dernière heure :
CcmLog('Scripts',1h)
Rechercher des informations dans le registre
Recherchez les informations du Registre.
// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
Étapes suivantes
Pour plus d’informations, consultez Lancer CMPivot à partir du centre d’administration Pour plus d’informations sur les entités de vos requêtes, consultez Microsoft Intune attachement de locataire : vue d’ensemble de l’utilisation de CMPivot.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour