Udostępnij za pośrednictwem


Dołączanie dzierżawy: przykładowe skrypty CMPivot

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Uruchamianie zapytań CMPivot z centrum administracyjnego Microsoft Intune. Poniżej przedstawiono kilka typowych potrzeb dotyczących zapytań i sposobu, w jaki można je spełnić za pomocą narzędzia CMPivot. Narzędzie CMPivot używa podzestawu język zapytań Kusto (KQL).

Poniżej przedstawiono kilka typowych potrzeb dotyczących zapytań i sposobu, w jaki można je spełnić za pomocą narzędzia CMPivot. Narzędzie CMPivot używa podzestawu język zapytań Kusto (KQL).

System operacyjny

Pobiera informacje o systemie operacyjnym.

// Sample query for OS information
OperatingSystem

Ostatnio używane aplikacje

Następujące zapytanie pobiera ostatnio używane aplikacje (ostatnie 2 godziny):

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

Godziny rozpoczęcia urządzenia

Następujące zapytanie pokazuje, kiedy urządzenia zostały uruchomione w ciągu ostatnich siedmiu dni:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

Wolne miejsce na dysku

Następujące zapytanie pokazuje wolne miejsce na dysku:

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

Informacje o urządzeniu

Pokaż urządzenie, producenta, model i OSVersion:

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

Godziny rozruchu urządzenia

Pokaż czasy rozruchu dla urządzeń:

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

Błędy uwierzytelniania

Wyszukaj w dziennikach zdarzeń błędy uwierzytelniania.

EventLog('Security')
| where  EventID == 4673

ProcessModule(<nazwa> procesu)

Wylicza wszystkie moduły (dll) załadowane przez dany proces. Funkcja ProcessModule jest przydatna podczas wyszukiwania złośliwego oprogramowania ukrywanego w legalnych procesach.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

Stan oprogramowania chroniącego przed złośliwym kodem

Pobiera stan oprogramowania chroniącego przed złośliwym kodem zainstalowanym na komputerze zbieranym przez Get-MpComputerStatus polecenie cmdlet. Jednostka jest obsługiwana na Windows 10 i serwerze 2016 lub nowszym z uruchomioną usługą Defender. |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Znajdź producenta systemu BIOS, który zawiera dowolne słowo, takie jak Micro

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

Znajdowanie pliku według skrótu

Wyszukaj plik według skrótu.

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

Znajdowanie skryptów w dziennikach programu CCM w ciągu ostatniej godziny

Następujące zapytanie analizuje zdarzenia w ciągu ostatnich 1 godziny:

CcmLog('Scripts',1h)

Znajdowanie informacji w rejestrze

Wyszukaj informacje o rejestrze.

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Następne kroki

Aby uzyskać więcej informacji, zobacz Uruchamianie narzędzia CMPivot z centrum administracyjnego Aby uzyskać więcej informacji na temat jednostek dla zapytań, zobacz Microsoft Intune dołączanie dzierżawy: omówienie użycia programu CMPivot.