Detekce anomálií v analýze koncových bodů

  • Článek

Poznámka

Tato funkce je k dispozici jako doplněk Intune. Další informace najdete v tématu Doplňky pro Intune.

Tento článek vysvětluje, jak detekce anomálií v analýze koncových bodů funguje jako systém včasného upozornění.

Detekce anomálií monitoruje stav zařízení ve vaší organizaci a zjišťuje regrese uživatelského prostředí a produktivity po změnách konfigurace. Když dojde k selhání, anomálie korelují relevantní objekty nasazení, aby bylo možné rychle řešit potíže, navrhovat původní příčiny a nápravu.

Správci se můžou spolehnout na detekci anomálií, aby se dozvěděli o uživatelském prostředí, které má dopad na problémy, než k nim dojde prostřednictvím jiných kanálů. Počáteční zaměření detekce anomálií je na zablokování nebo chybové ukončení aplikací a restartování chyby Stop.

Přehled

Díky detekci anomálií můžete detekovat potenciální problémy v systému dřív, než se stanou vážným problémem. Týmy podpory mají tradičně omezený přehled o potenciálních problémech.

  • často se jim prostřednictvím kanálu podpory zobrazí jenom podmnožina nahlášených nebo eskalovaných problémů, což ve skutečnosti neodpovídá všemu, co se děje ve vaší organizaci.

  • Musí strávit bezpočet hodin kontrolou vlastních řídicích panelů a snažit se identifikovat původní příčinu, řešit potíže, vytvářet vlastní upozornění, měnit prahové hodnoty a upravovat parametry.

Detekce anomálií se zaměřuje na řešení těchto problémů tím, že správcům IT umožňuje získat důležité informace.

Kromě detekce anomálií můžete zobrazit skupiny korelací zařízení a prozkoumat potenciální původní příčiny středně a vysoce závažných anomálií. Tyto kohorty zařízení umožňují zobrazit vzory identifikované mezi zařízeními. Proaktivní přístup ke správě zařízení jsme také identifikovali ohrožená zařízení v těchto kohortách. Jedná se o zařízení, která spadají do identifikovaných vzorů s vysokou spolehlivostí, ale zatím tyto anomálie nezaznamenali.

Poznámka

Kohorty zařízení se identifikují pouze u středně závažných a vysoce závažných anomálií.

Požadavky

  • Licencování/předplatná: Pokročilé funkce analýzy koncových bodů jsou součástí Microsoft Intune Suite jako doplněk Intune a vyžadují dodatečné náklady na možnosti licencování, které zahrnují Microsoft Intune.

  • Oprávnění: Detekce anomálií používá předdefinovaná oprávnění role.

Karta Anomálie

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Přehledanalýzy> koncového bodu sestavy>.

  3. Vyberte kartu Anomálie . Karta Anomálie poskytuje rychlý přehled anomálií zjištěných ve vaší organizaci.

  4. V tomto příkladu karta Anomálie zobrazuje anomálii se střední závažností . Seznam můžete upřesnit přidáním filtrů.

    Toto je snímek obrazovky s kartou Anomálie v části Přehled analýzy koncových bodů.

  5. Pokud chcete zobrazit další informace o konkrétní položce, vyberte ji ze seznamu. Můžete zobrazit podrobnosti, jako je název aplikace, kterých zařízení se to týká, kdy se problém poprvé zjistil a naposledy se vyskytl, a všechny skupiny zařízení, které můžou k problému přispívat.

    Toto je snímek obrazovky s podrobnostmi, které se zobrazí, když vyberete anomálii zobrazenou na kartě Anomálie.

  6. Výběrem skupiny korelací zařízení ze seznamu zobrazíte podrobné zobrazení společných faktorů zařízení. Zařízení se korelují na základě jednoho nebo více sdílených atributů, jako je verze aplikace, aktualizace ovladače, verze operačního systému a model zařízení. Můžete si zobrazit počet zařízení aktuálně ovlivněných anomálií a zařízení, u kterých hrozí, že k této anomálii dochází. Míra výskytu také ukazuje procento ovlivněných zařízení z anomálie, které jsou členy korelační skupiny.

    Toto je snímek obrazovky zobrazující korelační skupiny zařízení.

  7. Vyberte Zobrazit ovlivněná zařízení a zobrazte seznam zařízení s klíčovými atributy relevantními pro každé zařízení. Filtrováním můžete zobrazit zařízení v konkrétních skupinách korelace nebo zobrazit všechna zařízení ovlivněná touto anomálií ve vaší organizaci. Kromě toho časová osa zařízení zobrazuje více neobvyklých událostí.

    Toto je snímek obrazovky se seznamem ovlivněných zařízení.

Statistické modely pro určování anomálií

Sestavený analytický model detekuje kohorty zařízení, u které dochází k neobvyklé sadě restartování chyb Stop a zablokování nebo chybové ukončení aplikací, které vyžadují pozornost správce, aby je zmírnil a vyřešil. Tyto kohorty zařízení určují vzorce identifikované z našich telemetrických a diagnostických protokolů.

  • Heuristický model založený na prahových hodnotách: Heuristický model zahrnuje nastavení jedné nebo více prahových hodnot pro zablokování, chybové ukončení aplikace nebo restartování chyby Stop. Pokud dojde k překročení výše nastavené prahové hodnoty, zařízení se označí jako neobvyklá. Model je jednoduchý, ale efektivní; je vhodný pro řešení výrazných nebo statických problémů se zařízeními nebo jejich aplikacemi. V současné době jsou prahové hodnoty předem určené bez možnosti přizpůsobení. 

  • Spárovaný model t-testů: Spárované t-testy jsou matematická metoda, která porovnává dvojice pozorování v datové sadě a hledá statisticky významnou vzdálenost mezi jejich průměry. Testy se používají u datových sad, které se skládají z pozorování, která spolu nějakým způsobem souvisejí. Například počet restartování chyby Stop ze stejného zařízení před a po změně zásad nebo chybové ukončení aplikace na zařízení po aktualizaci operačního systému.

  • Model základního skóre Z: Statistické modely založené na skóre Z populace zahrnují výpočet směrodatné odchylky a průměru datové sady a následné použití těchto hodnot k určení, které datové body jsou neobvyklé. Směrodatná odchylka a střední hodnota se používají k výpočtu skóre Z pro každý datový bod, které představuje počet směrodatných odchylek od střední hodnoty. Datové body, které spadají mimo určitý rozsah, jsou neobvyklé. Tento model je vhodný pro zvýraznění odlehlejších zařízení nebo aplikací z širšího směrného plánu, ale vyžaduje dostatečně velké datové sady, aby byly přesné.

  • Time Series Z-score model: Modely time series Z-score jsou variantou standardního modelu skóre Z, který je určený pro detekci anomálií v datech časových řad. Data časových řad jsou posloupnost datových bodů shromažďovaných v pravidelných intervalech v průběhu času, například agregace restartování chyb Stop. Směrodatná odchylka a střední hodnota se počítají pro posuvné časové období pomocí agregovaných metrik. Tato metoda umožňuje modelu být citlivý na časové vzory v datech a přizpůsobit se změnám v jejich distribuci v průběhu času.

Další kroky

Další informace najdete tady: