租户附加:CMPivot 示例脚本
适用于: Configuration Manager(current branch)
从 Microsoft Intune 管理中心运行 CMPivot 查询。 下面是一些常见的查询需求,以及如何使用 CMPivot 来满足这些需求。 CMPivot 使用 Kusto 查询语言 (KQL) 子集。
下面是一些常见的查询需求,以及如何使用 CMPivot 来满足这些需求。 CMPivot 使用 Kusto 查询语言 (KQL) 子集。
操作系统
获取操作系统信息。
// Sample query for OS information
OperatingSystem
最近使用的应用程序
以下查询获取最近 () 2 小时最近使用的应用程序:
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
设备开始时间
以下查询显示设备在过去七天内何时启动:
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
可用磁盘空间
以下查询显示可用磁盘空间:
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
设备信息
显示设备、制造商、型号和 OSVersion:
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
设备的启动时间
显示设备的启动时间:
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
身份验证失败
在事件日志中搜索身份验证失败。
EventLog('Security')
| where EventID == 4673
ProcessModule (<processname>)
枚举) 给定进程加载的所有模块 (dll。 在搜寻隐藏在合法进程中的恶意软件时,ProcessModule 非常有用。
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
反恶意软件状态
获取 cmdlet 收集 Get-MpComputerStatus 的计算机上安装的反恶意软件的状态。 运行 Defender 的 Windows 10 和 Server 2016 或更高版本支持实体。 |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
查找包含任何单词(如 Micro)的 BIOS 制造商
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
按哈希查找文件
按哈希搜索文件。
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
在 CCM 日志中查找过去一小时的“脚本”
以下查询查看过去 1 小时内的事件:
CcmLog('Scripts',1h)
在注册表中查找信息
搜索注册表信息。
// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
后续步骤
有关详细信息,请参阅从管理中心启动 CMPivot 有关查询实体的详细信息,请参阅Microsoft Intune租户附加:CMPivot 用法概述。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈