租使用者附加:CMPivot 範例腳本
適用於:Configuration Manager (目前的分支)
從系統管理中心 Microsoft Intune 執行 CMPivot 查詢。 以下是一些常見的查詢需求,以及如何使用 CMPivot 來符合這些需求。 CMPivot 會使用 Kusto 查詢語言 (KQL) 的子集。
以下是一些常見的查詢需求,以及如何使用 CMPivot 來符合這些需求。 CMPivot 會使用 Kusto 查詢語言 (KQL) 的子集。
作業系統
取得作業系統資訊。
// Sample query for OS information
OperatingSystem
最近使用的應用程式
下列查詢會 (過去 2 小時) 取得最近使用的應用程式:
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
裝置開始時間
下列查詢顯示裝置在過去七天內啟動的時間:
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
可用磁碟空間
下列查詢顯示可用的磁碟空間:
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
裝置資訊
顯示裝置、製造商、型號和OSVersion:
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
裝置的開機時間
显示裝置的開機時間:
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
驗證失敗
搜尋事件記錄檔以取得驗證失敗。
EventLog('Security')
| where EventID == 4673
ProcessModule (<processname>)
列舉指定進程) 載入的所有模組 (dll。 在搜捕合法進程中隱藏的惡意代碼時,ProcessModule 很有用。
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
反惡意代碼軟體狀態
取得安裝在 Cmdlet 所 Get-MpComputerStatus 收集之電腦上的反惡意程式碼軟體狀態。 Windows 10 和 Server 2016 或更新版本支援實體,且 Defender 正在執行。 |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
尋找包含任何類似 Micro 的字組的 BIOS 製造商
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
依哈希尋找檔案
依哈希搜尋檔案。
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
在過去一小時內在 CCM 記錄中尋找「腳本」
下列查詢會查看過去 1 小時內的事件:
CcmLog('Scripts',1h)
在登錄中尋找資訊
搜尋登錄資訊。
// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
後續步驟
如需詳細資訊,請參閱從系統管理中心啟動 CMPivot 如需查詢實體的詳細資訊,請參閱 Microsoft Intune 租用戶連結:CMPivot 使用量概觀。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應