テナント接続: CMPivot サンプル スクリプト

Configuration Manager (現在のブランチ) に適用

管理センターから CMPivot クエリMicrosoft Intune実行します。 次に、一般的なクエリのニーズと、CMPivot を使用してそれらを満たす方法について説明します。 CMPivot には Kusto Query Language (KQL) のサブセットが使用されます。

次に、一般的なクエリのニーズと、CMPivot を使用してそれらを満たす方法について説明します。 CMPivot には Kusto Query Language (KQL) のサブセットが使用されます。

オペレーティング システム

オペレーティング システム情報を取得します。

// Sample query for OS information
OperatingSystem

最近使用したアプリケーション

次のクエリは、最近使用されたアプリケーション (過去 2 時間) を取得します。

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

デバイスの開始時刻

次のクエリは、過去 7 日間にデバイスがいつ開始されたかを示しています。

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

空きディスク領域

次のクエリは、空きディスク領域を示しています。

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

デバイス情報

デバイス、製造元、モデル、OSVersion を表示します。

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

デバイスの起動時間

デバイスの起動時間を表示する:

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

認証エラー

イベント ログで認証エラーを検索します。

EventLog('Security')
| where  EventID == 4673

ProcessModule(<processname>)

特定のプロセスによって読み込まれたすべてのモジュール (dll) を列挙します。 ProcessModule は、正当なプロセスで隠れるマルウェアを探す場合に便利です。

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

マルウェア対策ソフトウェアの状態

コマンドレットによって収集されたコンピューターにインストールされているマルウェア対策ソフトウェアの状態を Get-MpComputerStatus 取得します。 エンティティは、Windows 10 および Server 2016 以降で Defender を実行してサポートされています。 |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Micro のような任意の単語を含む BIOS 製造元を見つける

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

ハッシュでファイルを検索する

ハッシュでファイルを検索します。

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

過去 1 時間の CCM ログで 'Scripts' を検索する

次のクエリでは、過去 1 時間のイベントを確認します。

CcmLog('Scripts',1h)

レジストリ内の情報を検索する

レジストリ情報を検索します。

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

次の手順

詳細については、「管理センターから CMPivot を起動する」を参照してください。クエリのエンティティの詳細については、「Microsoft Intuneテナントアタッチ: CMPivot の使用状況の概要」を参照してください。