Tenantkoppeling: CMPivot-voorbeeldscripts

  • Artikel

Van toepassing op: Configuration Manager (current branch)

CmPivot-query's uitvoeren vanuit Microsoft Intune beheercentrum. Hieronder vindt u enkele veelvoorkomende querybehoeften en hoe CMPivot kan worden gebruikt om hieraan te voldoen. CMPivot maakt gebruik van een subset van de Kusto-querytaal (KQL).

Hieronder vindt u enkele veelvoorkomende querybehoeften en hoe CMPivot kan worden gebruikt om hieraan te voldoen. CMPivot maakt gebruik van een subset van de Kusto-querytaal (KQL).

Besturingssysteem

Hiermee haalt u informatie over het besturingssysteem op.

// Sample query for OS information
OperatingSystem

Recent gebruikte toepassingen

Met de volgende query worden onlangs gebruikte toepassingen (afgelopen 2 uur) opgevraagd:

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

Begintijden van apparaat

In de volgende query ziet u wanneer de apparaten in de afgelopen zeven dagen zijn gestart:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

Vrije schijfruimte

De volgende query toont vrije schijfruimte:

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

Apparaatgegevens

Apparaat, fabrikant, model en OSVersion weergeven:

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

Opstarttijden voor een apparaat

Opstarttijden voor apparaten weergeven:

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

Verificatiefouten

Zoek in de gebeurtenislogboeken naar verificatiefouten.

EventLog('Security')
| where  EventID == 4673

ProcessModule(<procesnaam>)

Inventariseert alle modules (dll's) die door een bepaald proces zijn geladen. ProcessModule is handig bij het opsporen van malware die zich verbergt in legitieme processen.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

Status van antimalwaresoftware

Hiermee wordt de status opgehaald van antimalwaresoftware die is geïnstalleerd op de computer die is verzameld door de Get-MpComputerStatus cmdlet. De entiteit wordt ondersteund op Windows 10 en Server 2016 of hoger met Defender. |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Bios-fabrikant zoeken die een woord zoals Micro bevat

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

Bestand zoeken op hash

Zoek naar een bestand op hash.

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

'Scripts' zoeken in de CCM-logboeken in het afgelopen uur

In de volgende query worden gebeurtenissen in de afgelopen 1 uur bekeken:

CcmLog('Scripts',1h)

Informatie zoeken in het register

Zoek naar registergegevens.

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Volgende stappen

Zie CMPivot starten vanuit het beheercentrum voor meer informatie Voor meer informatie over entiteiten voor uw query's raadpleegt u Microsoft Intune tenant koppelen: CMPivot-gebruiksoverzicht voor meer informatie over entiteiten voor uw query's.