在 SCCM 中使用 CMPivot 查询查找反恶意软件状态

在本文中，我将向您展示如何使用 SCCM (ConfigMgr) 中的 CMPivot 查询查找反恶意软件软件状态。使用 CMPivot，您可以获得计算机上安装的反恶意软件软件的状态，该状态通常由 Get-MpComputerStatus cmdlet 收集。

CMPivot 是 SCCM 中的一个新控制台实用程序，现在可以访问环境中设备的实时状态。 CMPivot 基于 KQL 的查询使管理员可以更轻松地从客户端查找重要数据。所有这些 CMPivot 查询都可以在 ConfigMgr 生产服务器上安全运行，您还可以将结果或输出导出到文件。

使用 CMPivot，您可以运行一些基本查询来检查单台计算机或整个 SCCM 设备集合上的反恶意软件状态。如果您在设置中未使用配置管理器，则可以通过运行 Get-MpComputerStatus 命令查找反恶意软件的状态。

我一直在探索 CMPivot 查询，我发现它非常有趣。您可以从远程计算机收集的信息量非常惊人。如果您有兴趣探索 CMPivot，可以查看我关于 ConfigMgr CMPivot 查询的所有帖子。

看一下可以在 SCCM 中使用的一些有趣的 CMPivot 查询：

• 使用 CMPivot 查找计算机的序列号
• 使用 SCCM CMPivot 查询查找最近使用的应用程序
• 使用 CMPivot 查询在 SCCM 中查找 WSUS 服务器详细信息
• 使用 SCCM CMPivot 查询轻松查找 Dot Net 版本
• 使用 SCCM CMPivot 查询查找默认浏览器

运行 Get-MpComputerStatus 命令以查找反恶意软件状态

Get-MpComputerStatus 是一个简单的命令，您可以使用它检查计算机上的反恶意软件软件的状态。如果您无权访问 CMPivot，可以通过在计算机上运行简单的命令来查找反恶意软件状态。

此命令需要在 PowerShell 窗口中本地运行，并且适用于几乎所有运行 Defender 的 Windows 操作系统。要获取反恶意软件软件的状态，请打开 PowerShell 并运行以下命令。

Get-MpComputerStatus

Get-MpComputerStatus 命令的输出粘贴在下面。我们看到输出包含有关反恶意软件属性的所有详细信息，例如引擎版本、防病毒组件状态、RealTimeProtectionEnabled 等。

AMEngineVersion : 1.1.19700.3
AMProductVersion : 4.18.2210.4
AMRunningMode : Normal
AMServiceEnabled : True
AMServiceVersion : 4.18.2210.4
AntispywareEnabled : True
AntispywareSignatureAge : 0
AntispywareSignatureLastUpdated : 07-11-2022 06:55:09
AntispywareSignatureVersion : 1.377.1429.0
AntivirusEnabled : True
AntivirusSignatureAge : 0
AntivirusSignatureLastUpdated : 07-11-2022 06:55:09
AntivirusSignatureVersion : 1.377.1429.0
BehaviorMonitorEnabled : True
ComputerID : E3890539-D1A1-469A-90FC-247598E723
ComputerState : 0
DefenderSignaturesOutOfDate : False
DeviceControlDefaultEnforcement : Unknown
DeviceControlPoliciesLastUpdated : 07-11-2022 13:48:58
DeviceControlState : Disabled
FullScanAge : 4294967295
FullScanEndTime :
FullScanOverdue : False
FullScanRequired : False
FullScanSignatureVersion :
FullScanStartTime :
IoavProtectionEnabled : True
IsTamperProtected : True
IsVirtualMachine : True
LastFullScanSource : 0
LastQuickScanSource : 2
NISEnabled : True
NISEngineVersion : 1.1.19700.3
NISSignatureAge : 0
NISSignatureLastUpdated : 07-11-2022 06:55:09
NISSignatureVersion : 1.377.1429.0
OnAccessProtectionEnabled : True
ProductStatus : 524416
QuickScanAge : 18
QuickScanEndTime : 20-10-2022 13:10:30
QuickScanOverdue : True
QuickScanSignatureVersion : 1.377.471.0
QuickScanStartTime : 20-10-2022 13:07:54
RealTimeProtectionEnabled : True
RealTimeScanDirection : 0
RebootRequired : False
SmartAppControlExpiration :
SmartAppControlState : Off
TamperProtectionSource : Signatures
TDTMode : N/A
TDTSiloType : N/A
TDTStatus : N/A
TDTTelemetry : N/A
TroubleShootingDailyMaxQuota :
TroubleShootingDailyQuotaLeft :
TroubleShootingEndTime :
TroubleShootingExpirationLeft :
TroubleShootingMode :
TroubleShootingModeSource :
TroubleShootingQuotaResetTime :
TroubleShootingStartTime :
PSComputerName :

在 SCCM 中使用 CMPivot 查找反恶意软件状态

让我们看看在 SCCM 中使用 CMPivot 查询查找反恶意软件状态的步骤。启动 SCCM 控制台并转到资产和合规性 > 概述 > 设备集合。选择您要运行 CMPivot 查询的设备集合。右键单击设备集合并选择启动 CMPivot。

在 CMPivot 工具中，选择查询选项卡。输入查询“EPStatus”，然后单击运行查询。 CMPivot 查询输出包含有关反恶意软件软件的所有详细信息的列表，包括状态和签名更新。输出将包含多个详细信息，您可能必须将列表导出到 CSV 文件并查看结果。

注意：在 CMPivot 查询窗口中输入Get-MpComputerStatus 命令时，该命令将不起作用。 EPStatus 是正确的 CMPivot 查询，您应该使用它来检查反恶意软件状态及其属性。

CMPivot 查询以查找具有设备计数的反恶意软件软件 QuickScanAge

在此示例中，我们将运行一个简单的 CMPivot 查询来查找上次快速扫描期限（以天为单位）并过滤输出以及设备计数。 “快速扫描会查看可能注册了随系统启动的恶意软件的所有位置，例如注册表项和已知的 Windows 启动文件夹。”

使用 CMPivot，您可以查询 SCCM 中的所有设备，以查找 QuickScanAge 属性显示自快速扫描启动以来的天数。在运行 Defender 软件的 Windows 设备上，如果签名从未更新过，您将看到 QuickScanAge 值为 65535 天。

在 CMPivot 窗口中，运行以下查询以查找设备的 QuickScanAge 以及设备总数。

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

使用 CMPivot 查询检查反恶意软件软件服务状态

使用 CMPivot，您可以运行查询来确定反恶意软件软件服务的状态。您可以使用 CMPivot 查询查找远程计算机上是否安装并运行 Windows Defender 防火墙服务。另请参阅如何使用 CMPivot 查找 Windows 计算机上安装和运行的服务。

您可以通过转到服务控制台并检查 Windows Defender 防火墙服务状态来手动确定 Windows Defender 服务 (mpssvc) 的状态。在大多数计算机上，该服务已启动并正在运行。

运行以下 CMPivot 查询以查找反恶意软件软件服务状态。

Service | where (Name == 'mpssvc') | summarize count() by Device

在下面的查询输出中，我们看到已启动并运行 Windows Defender 服务的计算机。