Rilevamento anomalie nell'analisi degli endpoint

  • Articolo

Nota

Questa funzionalità è disponibile come componente aggiuntivo di Intune. Per altre informazioni, vedere Componenti aggiuntivi di Intune.

Questo articolo illustra il funzionamento del rilevamento anomalie in Analisi degli endpoint come sistema di avviso rapido.

Il rilevamento anomalie monitora l'integrità dei dispositivi nell'organizzazione per l'esperienza utente e le regressioni di produttività in seguito alle modifiche alla configurazione. Quando si verifica un errore, anomalie correla gli oggetti di distribuzione rilevanti per consentire la risoluzione rapida dei problemi, suggerire le cause radice e la correzione.

Gli amministratori possono fare affidamento sul rilevamento anomalie per informazioni sull'esperienza utente che influisce sui problemi prima che raggiungano i problemi tramite altri canali. Lo stato attivo iniziale per il rilevamento delle anomalie è il blocco/arresto anomalo dell'applicazione e il riavvio degli errori di arresto.

Panoramica

Con il rilevamento delle anomalie, è possibile rilevare potenziali problemi in un sistema prima che diventino un problema grave. Tradizionalmente, i team di supporto hanno una visibilità limitata su potenziali problemi.

  • spesso, ricevono solo un subset dei problemi segnalati/inoltrati tramite il canale di supporto, che non è veramente rappresentativo di tutto ciò che accade nell'organizzazione.

  • devono passare innumerevoli ore a esaminare i dashboard personalizzati cercando di identificare la causa radice, risolvere i problemi, creare avvisi personalizzati, modificare le soglie e modificare i parametri.

Il rilevamento anomalie mira ad affrontare questi problemi abilitando gli amministratori IT con informazioni critiche.

Oltre a rilevare le anomalie, è possibile visualizzare i gruppi di correlazione dei dispositivi per esplorare le potenziali cause radice di anomalie di gravità media e alta. Queste coorti di dispositivi consentono di visualizzare i modelli identificati tra i dispositivi. Abbiamo adottato un approccio proattivo alla gestione dei dispositivi identificando anche i dispositivi "a rischio" in tali coorti. Questi sono i dispositivi che rientrano nei modelli identificati con attendibilità elevata, ma non hanno ancora visto tali anomalie.

Nota

Le coorti dei dispositivi sono identificate solo per anomalie di gravità medio e alta.

Prerequisiti

  • Licenze/sottoscrizioni: le funzionalità avanzate di Analisi degli endpoint sono incluse come componente aggiuntivo di Intune in Microsoft Intune Suite e richiedono un costo aggiuntivo per le opzioni di licenza che includono Microsoft Intune.

  • Autorizzazioni: il rilevamento anomalie usa le autorizzazioni dei ruoli predefinite

Scheda Anomalie

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. SelezionarePanoramicadi> Analisi endpoint report>.

  3. Selezionare la scheda Anomalie . La scheda Anomalie offre una rapida panoramica delle anomalie rilevate nell'organizzazione.

  4. In questo esempio la scheda Anomalie mostra un'anomalia con impatto sulla gravità media . È possibile aggiungere filtri per perfezionare l'elenco.

    Screenshot della scheda Anomalie nella sezione Panoramica di Analisi degli endpoint

  5. Per visualizzare altre informazioni su un elemento specifico, selezionarlo dall'elenco. È possibile visualizzare dettagli come il nome dell'app, quali dispositivi sono interessati, quando il problema è stato rilevato per la prima volta e l'ultima volta e tutti i gruppi di dispositivi che potrebbero contribuire al problema.

    Screenshot dei dettagli visualizzati quando si seleziona un'anomalia visualizzata nella scheda Anomalie

  6. Selezionare un gruppo di correlazione del dispositivo dall'elenco per una visualizzazione dettagliata dei fattori comuni dei dispositivi. I dispositivi sono correlati in base a uno o più attributi condivisi, ad esempio versione dell'app, aggiornamento del driver, versione del sistema operativo e modello di dispositivo. È possibile visualizzare il numero di dispositivi attualmente interessati dall'anomalia e i dispositivi a rischio di riscontrare l'anomalia. Il tasso di prevalenza mostra anche la percentuale di dispositivi interessati da un'anomalia che sono membri di un gruppo di correlazione.

    Screenshot che mostra i gruppi di correlazione dei dispositivi

  7. Selezionare Visualizza dispositivi interessati per visualizzare un elenco di dispositivi con attributi chiave rilevanti per ogni dispositivo. È possibile filtrare per visualizzare i dispositivi in gruppi di correlazione specifici o visualizzare tutti i dispositivi interessati da tale anomalia nell'organizzazione. Inoltre, la sequenza temporale del dispositivo mostra eventi più anomali.

    Screenshot che mostra un elenco di dispositivi interessati

Modelli statistici per la determinazione delle anomalie

Il modello analitico compilato rileva le coorti dei dispositivi che devono affrontare un set anomalo di riavvii degli errori di arresto e blocchi/arresti anomali dell'applicazione che richiedono attenzione da parte dell'amministratore per mitigare e risolvere il problema. I modelli identificati dai log di telemetria e diagnostica dei sensori determinano queste coorte di dispositivi

  • Modello euristico basato su soglia: il modello euristico prevede l'impostazione di uno o più valori soglia per blocchi/arresti anomali dell'applicazione o arresto del riavvio degli errori. I dispositivi vengono contrassegnati come anomali se si verifica una violazione nella soglia impostata sopra. Il modello è semplice ma efficace; è adatto per la visualizzazione di problemi prominenti o statici con i dispositivi o le relative app. Attualmente, le soglie sono predeterminate senza un'opzione da personalizzare. 

  • Modello t-test abbinato: i test t abbinati sono un metodo matematico che confronta coppie di osservazioni in un set di dati, cercando una distanza statisticamente significativa tra i loro mezzi. I test vengono usati su set di dati costituiti da osservazioni correlate tra loro in qualche modo. Ad esempio, il conteggio degli errori di arresto viene riavviato dallo stesso dispositivo prima e dopo una modifica dei criteri oppure l'app si arresta in modo anomalo in un dispositivo dopo un aggiornamento del sistema operativo (sistemi operativi).

  • Modello di punteggio Z della popolazione: i modelli statistici basati su punteggio Z della popolazione implicano il calcolo della deviazione standard e della media di un set di dati e quindi l'uso di tali valori per determinare quali punti dati sono anomali. La deviazione standard e la media vengono usate per calcolare il punteggio Z per ogni punto dati, che rappresenta il numero di deviazioni standard dalla media. I punti dati che non rientrano in un determinato intervallo sono anomali. Questo modello è particolarmente adatto per evidenziare i dispositivi outlier o le app dalla baseline più ampia, ma richiede set di dati sufficientemente grandi per essere precisi.

  • Modello di punteggio Z serie temporale: i modelli di punteggio Z della serie temporale sono una variante del modello Z-score standard progettato per rilevare anomalie nei dati delle serie temporali. I dati delle serie temporali sono una sequenza di punti dati raccolti a intervalli regolari nel tempo, ad esempio l'aggregazione dei riavvii degli errori di arresto. La deviazione standard e la media vengono calcolate per un intervallo di tempo scorrevole, usando metriche aggregate. Questo metodo consente al modello di essere sensibile ai modelli temporali nei dati e di adattarsi alle modifiche nella distribuzione nel tempo.

Passaggi successivi

Per altre informazioni, vedere: