Share via

Подключение клиента: примеры сценариев CMPivot

  • Статья

Относится к Configuration Manager (Current Branch)

Выполнение запросов CMPivot из центра администрирования Microsoft Intune. Ниже приведены некоторые распространенные требования к запросам и описано, как удовлетворить эти требования с помощью CMPivot. CMPivot использует подмножество языка запросов Kusto (KQL).

Ниже приведены некоторые распространенные требования к запросам и описано, как удовлетворить эти требования с помощью CMPivot. CMPivot использует подмножество языка запросов Kusto (KQL).

Операционная система

Возвращает сведения об операционной системе.

// Sample query for OS information
OperatingSystem

Недавно использовавшиеся приложения

Следующий запрос получает недавно использованные приложения (последние 2 часа):

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

Время запуска устройства

В следующем запросе показано, когда были запущены устройства за последние семь дней:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

Свободное место на диске

В следующем запросе отображается свободное место на диске:

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

Сведения об устройствах.

Отображение устройства, производителя, модели и OSVersion:

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

Время загрузки устройства

Отображение времени загрузки для устройств:

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

Сбои проверки подлинности

Выполните поиск ошибок проверки подлинности в журналах событий.

EventLog('Security')
| where  EventID == 4673

ProcessModule(<processname>)

Перечисляет все модули (DLL), загруженные данным процессом. ProcessModule полезен при поиске вредоносных программ, которые скрываются в допустимых процессах.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

Состояние антивредоносного программного обеспечения

Возвращает состояние антивредоносного программного обеспечения, установленного на компьютере, собранном командлетом Get-MpComputerStatus . Сущность поддерживается в Windows 10 и Server 2016 или более поздней версии с запущенным Defender. |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Поиск производителя BIOS, содержащего любое слово, например Micro

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

Поиск файла по его хэшу

Выполните поиск файла по хэшу.

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

Поиск "Скрипты" в журналах CCM за последний час

В следующем запросе рассматриваются события за последние 1 час.

CcmLog('Scripts',1h)

Поиск сведений в реестре

Выполните поиск сведений о реестре.

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Дальнейшие действия

Дополнительные сведения см. в статье Запуск CMPivot из Центра администрирования Дополнительные сведения о сущностях для запросов см. в разделе Microsoft Intune присоединение клиента: общие сведения об использовании CMPivot.