Anexação do inquilino: scripts de amostra cmpivot (pré-visualização)
Aplica-se a: Configuration Manager (ramo atual)
Importante
- Esta informação diz respeito a uma funcionalidade de pré-visualização que pode ser substancialmente modificada antes de ser lançada comercialmente. A Microsoft não faz garantias, de forma expressa ou implícita, em relação à informação aqui apresentada.
Executar consultas cmPivot a partir de Microsoft Endpoint Manager centro de administração. Abaixo estão algumas necessidades de consulta comum e como a CMPivot pode ser usada para os satisfazer. A CMPivot utiliza um subconjunto da Língua De Consulta de Kusto (KQL).
Abaixo estão algumas necessidades de consulta comum e como a CMPivot pode ser usada para os satisfazer. A CMPivot utiliza um subconjunto da Língua De Consulta de Kusto (KQL).
Sistema operativo
Obtém informação do sistema operativo.
// Sample query for OS information
OperatingSystem
Aplicações recentemente utilizadas
A seguinte consulta recebe aplicações recentemente utilizadas (últimas 2 horas):
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
Tempos de início do dispositivo
A seguinte consulta mostra quando os dispositivos começaram nos últimos sete dias:
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
Espaço livre em disco
A seguinte consulta mostra espaço de disco gratuito:
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
Informações do dispositivo
Dispositivo de exibição, fabricante, modelo e OSVersion:
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
Tempos de arranque para um dispositivo
Mostrar os tempos de arranque dos dispositivos:
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
Falha na autenticação
Procure nos registos do evento por falhas de autenticação.
EventLog('Security')
| where EventID == 4673
ProcessModule. <processname>
Enumera todos os módulos (dlls) carregados por um determinado processo. O ProcessModule é útil na caça de malware que se esconde em processos legítimos.
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
Estado do software antimalware
Obtém o estado do software antimalware instalado no computador recolhido pelo Get-MpComputerStatus cmdlet. A entidade é suportada no Windows 10 e No Server 2016, ou mais tarde com o defender em execução. |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
Encontre o BIOS Manufacturer que contenha qualquer palavra como Micro
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
Encontre o ficheiro pelo respetivo hash
Procure um ficheiro por hash.
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
Encontre 'Scripts' nos registos do CCM na última hora
A seguinte consulta analisará os acontecimentos nas últimas 1 hora:
CcmLog('Scripts',1h)
Passos seguintes
Para mais informações, consulte Lançar CMPivot (pré-visualização) do centro de administração Para obter mais informações sobre as entidades para as suas consultas, consulte Microsoft Endpoint Manager informou o inquilina de utilização: Visão geral de utilização da CMPivot.