Compartilhar via

Deteção de Anomalias na Análise de Pontos Finais

  • Artigo

Observação

Esta capacidade está disponível como um suplemento do Intune. Para obter mais informações, veja Suplementos do Intune.

Este artigo explica como funciona a deteção de anomalias na Análise de pontos finais como um sistema de aviso antecipado.

A deteção de anomalias monitoriza o estado de funcionamento dos dispositivos na sua organização relativamente à experiência do utilizador e às regressões de produtividade após alterações de configuração. Quando ocorre uma falha, anomalias correlacionam objetos de implementação relevantes para permitir uma resolução rápida de problemas, sugerir causas e remediação.

Os administradores podem confiar na deteção de anomalias para saber mais sobre a experiência do utilizador que afeta os problemas antes de os alcançar através de outros canais. O foco inicial para a deteção de anomalias está em Bloqueios/falhas da aplicação e Reinícios de Erros Fatais.

Visão Geral

Com a deteção de anomalias, pode detetar potenciais problemas num sistema antes que se tornem um problema grave. Tradicionalmente, as equipas de suporte têm visibilidade limitada para potenciais problemas.

  • muitas vezes, apenas recebem um subconjunto dos problemas comunicados/escalados através do canal de suporte, o que não é verdadeiramente representativo de tudo o que se passa na sua organização.

  • têm de passar inúmeras horas a rever dashboards personalizados a tentar identificar a causa raiz, resolver problemas, criar alertas personalizados, alterar limiares e ajustar parâmetros.

A deteção de anomalias visa resolver estes problemas ao ativar os administradores de TI com informações críticas.

Além de detetar anomalias, pode ver grupos de correlação de dispositivos para explorar potenciais causas raiz para anomalias de gravidade média e alta. Estas coortes de dispositivos permitem-lhe ver padrões identificados entre dispositivos. Tomámos uma abordagem proativa à gestão de dispositivos ao identificar também os dispositivos "em risco" nessas coortes. Estes são os dispositivos que se enquadram nos padrões identificados com alta confiança, mas que ainda não viram essas anomalias.

Observação

As coortes de dispositivos só são identificadas para anomalias de gravidade média e alta.

Pré-requisitos

  • Licenciamento/Subscrições: as funcionalidades avançadas na análise de Pontos Finais são incluídas como um suplemento do Intune no Microsoft Intune Suite e requerem um custo adicional para as opções de licenciamento que incluem o Microsoft Intune.

  • Permissões: a deteção de anomalias utiliza permissões de função incorporadas

Separador Anomalias

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione DescriçãoGeralda Análise de Pontos Finais>do Relatório>.

  3. Selecione o separador Anomalias . O separador Anomalias fornece uma descrição geral rápida das anomalias detetadas na sua organização.

  4. Neste exemplo, o separador Anomalias mostra uma anomalia com impacto de gravidade média . Pode adicionar filtros para refinar a lista.

    Esta é uma captura de ecrã do separador Anomalias na secção Descrição geral da Análise de pontos finais

  5. Para ver mais informações sobre um item específico, selecione-o na lista. Pode ver detalhes como o nome da aplicação, que dispositivos são afetados, quando o problema foi detetado pela primeira vez e ocorreu pela última vez, e quaisquer grupos de dispositivos que possam estar a contribuir para o problema.

    Esta é uma captura de ecrã dos detalhes apresentados quando seleciona uma anomalia apresentada no separador Anomalia

  6. Selecione um grupo de correlação de dispositivos na lista para obter uma vista detalhada dos fatores comuns dos dispositivos. Os dispositivos estão correlacionados com base num ou mais atributos partilhados, como a versão da aplicação, a atualização do controlador, a versão do SO e o modelo do dispositivo. Pode ver o número de dispositivos atualmente afetados pela anomalia e os dispositivos em risco de sofrer a anomalia. A taxa de prevalência também mostra a percentagem de dispositivos afetados de uma anomalia que são membros de um grupo de correlação.

    Esta é uma captura de ecrã a mostrar grupos de correlação de dispositivos

  7. Selecione Ver Dispositivos Afetados para apresentar uma lista de dispositivos com atributos chave relevantes para cada dispositivo. Pode filtrar para ver dispositivos em grupos de correlação específicos ou mostrar todos os dispositivos afetados por essa anomalia na sua organização. Além disso, a linha cronológica do dispositivo mostra eventos mais anómalos.

    Esta é uma captura de ecrã que mostra uma lista dos dispositivos afetados

Modelos Estatísticos para determinar anomalias

O Modelo Analítico criado deteta coortes de dispositivos que enfrentam um conjunto anómalo de reinícios de erros fatais e bloqueios/falhas da aplicação que precisam de atenção do administrador para mitigar e resolver. Os padrões identificados pela telemetria do sensor e os registos de diagnóstico determinam estas coortes de dispositivos

  • Modelo heurístico baseado em limiares: o modelo heurístico envolve a definição de um ou mais valores de limiar para Bloqueios/Falhas da Aplicação ou Reinícios de Erros Fatais. Os dispositivos são sinalizados como anómalos se ocorrer uma falha no limiar definido acima. O modelo é simples, mas eficaz; é adequado para problemas proeminentes ou estáticos com dispositivos ou aplicações. Atualmente, os limiares são pré-determinados sem uma opção para personalizar. 

  • Modelo de testes t emparelhados: os testes t emparelhados são um método matemático que compara pares de observações num conjunto de dados, procurando uma distância estatisticamente significativa entre as suas médias. Os testes são utilizados em conjuntos de dados que consistem em observações relacionadas entre si de alguma forma. Por exemplo, a contagem de Reinícios do Erro de Paragem do mesmo dispositivo antes e depois de uma alteração de política ou a aplicação falha num dispositivo após uma atualização do SO (sistemas operativos).

  • Modelo de classificação Z da população: os modelos estatísticos baseados na classificação Z da população envolvem calcular o desvio padrão e a média de um conjunto de dados e, em seguida, utilizar esses valores para determinar quais os pontos de dados anómalos. O desvio padrão e a média são utilizados para calcular a classificação Z para cada ponto de dados, que representa o número de desvios padrão longe da média. Os pontos de dados que estão fora de um determinado intervalo são anómalos. Este modelo é adequado para realçar dispositivos ou aplicações atípicos a partir da linha de base mais ampla, mas requer conjuntos de dados suficientemente grandes para serem precisos.

  • Modelo de pontuação Z da Série Temporal: os modelos de pontuação Z da série temporal são uma variação do modelo de classificação Z padrão concebido para detetar anomalias em dados de série temporal. Os dados de série temporal são uma sequência de pontos de dados recolhidos em intervalos regulares ao longo do tempo, como a agregação de Reinícios de Erro de Paragem. O desvio padrão e a média são calculados para uma janela deslizante de tempo, utilizando métricas agregadas. Este método permite que o modelo seja sensível a padrões temporais nos dados e adapte-se a alterações na sua distribuição ao longo do tempo.

Próximas etapas

Para obter mais informações, confira: