테넌트 연결: CMPivot 샘플 스크립트
적용 대상: Configuration Manager(현재 분기)
Microsoft Intune 관리 센터에서 CMPivot 쿼리를 실행합니다. 다음은 몇 가지 일반적인 쿼리 요구 사항과 CMPivot을 사용하여 이러한 요구 사항을 충족하는 방법입니다. CMPivot은 KQL(Kusto 쿼리 언어) 일부를 사용합니다.
다음은 몇 가지 일반적인 쿼리 요구 사항과 CMPivot을 사용하여 이러한 요구 사항을 충족하는 방법입니다. CMPivot은 KQL(Kusto 쿼리 언어) 일부를 사용합니다.
운영 체제
운영 체제 정보를 가져옵니다.
// Sample query for OS information
OperatingSystem
최근에 사용한 애플리케이션
다음 쿼리는 최근에 사용한 애플리케이션(지난 2시간)을 가져옵니다.
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
디바이스 시작 시간
다음 쿼리는 지난 7일 동안 디바이스가 시작된 시기를 보여 줍니다.
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
사용 가능한 디스크 공간
다음 쿼리는 사용 가능한 디스크 공간을 보여줍니다.
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
디바이스 정보
디바이스, 제조업체, 모델 및 OSVersion 표시:
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
디바이스의 부팅 시간
디바이스의 부팅 시간 표시:
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
인증 실패
이벤트 로그에서 인증 실패를 검색합니다.
EventLog('Security')
| where EventID == 4673
ProcessModule(<processname>)
지정된 프로세스에서 로드한 모든 모듈(dll)을 열거합니다. ProcessModule은 합법적인 프로세스에서 숨기는 맬웨어를 헌팅할 때 유용합니다.
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
맬웨어 방지 소프트웨어 상태
cmdlet에서 수집 Get-MpComputerStatus 한 컴퓨터에 설치된 맬웨어 방지 소프트웨어의 상태 가져옵니다. 엔터티는 defender가 실행되는 Windows 10 및 Server 2016 이상에서 지원됩니다. |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
Micro와 같은 단어가 포함된 BIOS 제조업체 찾기
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
해시로 파일 찾기
해시로 파일을 검색합니다.
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
지난 1시간 동안의 CCM 로그에서 '스크립트' 찾기
다음 쿼리는 지난 1시간 동안의 이벤트를 확인합니다.
CcmLog('Scripts',1h)
레지스트리에서 정보 찾기
레지스트리 정보를 검색합니다.
// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
다음 단계
자세한 내용은 관리 센터에서 CMPivot 시작을 참조하세요. 쿼리에 대한 엔터티에 대한 자세한 내용은 테넌트 연결 Microsoft Intune: CMPivot 사용 개요를 참조하세요.