Anexação de locatário: scripts de exemplo CMPivot

Aplica-se a: Configuration Manager (ramificação atual)

Execute CMPivot consultas do Centro de administração do Microsoft Endpoint Manager. Abaixo estão algumas necessidades comuns de consulta e como o CMPivot pode ser usado para atender a elas. O CMPivot usa um subconjunto da KQL (Linguagem de Consulta Kusto).

Abaixo estão algumas necessidades comuns de consulta e como o CMPivot pode ser usado para atender a elas. O CMPivot usa um subconjunto da KQL (Linguagem de Consulta Kusto).

Sistema operacional

Obtém informações do sistema operacional.

// Sample query for OS information
OperatingSystem

Aplicativos usados recentemente

A consulta a seguir obtém aplicativos usados recentemente (últimas 2 horas):

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

Tempos de início do dispositivo

A seguinte consulta mostra quando os dispositivos foram iniciados nos últimos sete dias:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

Espaço em disco gratuito

A seguinte consulta mostra espaço livre em disco:

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

Informações do dispositivo

Mostrar dispositivo, fabricante, modelo e OSVersion:

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

Tempos de inicialização para um dispositivo

Mostrar tempos de inicialização para dispositivos:

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

Falhas de autenticação

Pesquise os logs de eventos em busca de falhas de autenticação.

EventLog('Security')
| where  EventID == 4673

ProcessModule( <processname> )

Enumera todos os módulos (dlls) carregados por um determinado processo. ProcessModule é útil ao procurar malware que se oculta em processos legítimos.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

Status do software antimalware

Obtém o status do software antimalware instalado no computador coletado pelo Get-MpComputerStatus cmdlet. A entidade tem suporte no Windows 10 e no Server 2016 ou posterior com o defender em execução. |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Encontre o fabricante do BIOS que contém qualquer palavra como Micro

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

Encontrar arquivo pelo hash

Pesquise um arquivo por hash.

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

Encontre 'Scripts' nos logs do CCM na última hora

A seguinte consulta procurará eventos na última 1 hora:

CcmLog('Scripts',1h)

Encontrar informações no Registro

Pesquise informações do Registro.

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Próximas etapas

Para obter mais informações, consulte Iniciar CMPivot no Centro de administração Para obter mais informações sobre entidades para suas consultas, consulte Anexação de locatário do Microsoft Endpoint Manager: visão geral de uso do CMPivot.