Eventi
19 nov, 23 - 21 nov, 23
Acquisire competenze su richiesta con sessioni online progettate per soddisfare le sfide del settore in Microsoft Ignite.
Iscriviti subitoQuesto browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Si applica a: Configuration Manager (Current Branch)
Eseguire query CMPivot dall Microsoft Intune amministratore. Di seguito sono riportate alcune esigenze di query comuni e il modo in cui è possibile usare CMPivot per soddisfarle. CMPivot usa un subset del Linguaggio di query Kusto (KQL).
Di seguito sono riportate alcune esigenze di query comuni e il modo in cui è possibile usare CMPivot per soddisfarle. CMPivot usa un subset del Linguaggio di query Kusto (KQL).
Ottiene informazioni sul sistema operativo.
// Sample query for OS information
OperatingSystem
La query seguente ottiene applicazioni usate di recente (ultime 2 ore):
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
La query seguente mostra quando sono stati avviati i dispositivi negli ultimi sette giorni:
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
La query seguente mostra lo spazio disponibile su disco:
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
Mostra dispositivo, produttore, modello e OSVersion:
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
Mostra i tempi di avvio per i dispositivi:
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
Cercare errori di autenticazione nei log eventi.
EventLog('Security')
| where EventID == 4673
Enumera tutti i moduli (DLL) caricati da un determinato processo. ProcessModule è utile durante la ricerca di malware che si nasconde nei processi legittimi.
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
Ottiene lo stato del software antimalware installato nel computer raccolto dal Get-MpComputerStatus
cmdlet . L'entità è supportata in Windows 10 e Server 2016 o versioni successive con Defender in esecuzione. |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
Cercare un file per hash.
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
La query seguente esamina gli eventi dell'ultima ora:
CcmLog('Scripts',1h)
Cercare le informazioni del Registro di sistema.
// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
Per altre informazioni, vedere Avviare CMPivot dall'interfaccia di amministrazione Per altre informazioni sulle entità per le query, vedere Microsoft Intune collegamento tenant: Panoramica dell'utilizzo di CMPivot.
Eventi
19 nov, 23 - 21 nov, 23
Acquisire competenze su richiesta con sessioni online progettate per soddisfare le sfide del settore in Microsoft Ignite.
Iscriviti subito