Detecção de anomalias na análise de ponto de extremidade

  • Artigo

Observação

Esse recurso está disponível como um complemento do Intune. Para obter mais informações, confira Complementos do Intune.

Este artigo explica como a detecção de anomalias na análise do Ponto de Extremidade funciona como um sistema de aviso antecipado.

A detecção de anomalias monitora a integridade dos dispositivos em sua organização para regressões de experiência e produtividade do usuário após alterações de configuração. Quando ocorre uma falha, anomalias correlacionam objetos de implantação relevantes para habilitar a solução rápida de problemas, sugerem causas raiz e correção.

Os administradores podem confiar na detecção de anomalias para saber mais sobre a experiência do usuário que afeta problemas antes de chegar a eles por meio de outros canais. O foco inicial para a detecção de anomalias está em travas/falhas de aplicativo e interromper reinicializações de erro.

Visão geral

Com a detecção de anomalias, você pode detectar possíveis problemas em um sistema antes que eles se tornem um problema sério. Tradicionalmente, as equipes de suporte têm visibilidade limitada sobre possíveis problemas.

  • geralmente, eles só recebem um subconjunto dos problemas relatados/escalonados por meio do canal de suporte, que não é realmente representativo de tudo o que está acontecendo em sua organização.

  • eles devem passar inúmeras horas revisando painéis personalizados tentando identificar a causa raiz, solucionar problemas, criar alertas personalizados, alterar limites e ajustar parâmetros.

A detecção de anomalias visa resolver esses problemas habilitando administradores de TI com informações críticas.

Além de detectar anomalias, você pode exibir grupos de correlação de dispositivos para explorar possíveis causas raiz para anomalias de gravidade média e alta. Essas coortes de dispositivos permitem exibir padrões identificados entre dispositivos. Adotamos uma abordagem proativa para o gerenciamento de dispositivos identificando também dispositivos "em risco" nessas coortes. Estes são os dispositivos que se enquadram nos padrões identificados com alta confiança, mas ainda não viram essas anomalias.

Observação

As coortes de dispositivos só são identificadas para anomalias de média e alta gravidade.

Pré-requisitos

  • Licenciamento/assinaturas: os recursos avançados na análise do Ponto de Extremidade são incluídos como um suplemento do Intune em Microsoft Intune Suite e exigem um custo extra para as opções de licenciamento que incluem Microsoft Intune.

  • Permissões: a detecção de anomalias usa permissões de função internas

Guia Anomalias

  1. Entre no centro de administração Microsoft Intune.

  2. SelecioneVisão geral daanálise do ponto de> extremidade do relatório>.

  3. Selecione Guia Anomalias . A guia Anomalias fornece uma visão geral rápida das anomalias detectadas em sua organização.

  4. Neste exemplo, a guia Anomalias mostra uma anomalia com impacto de gravidade média . Você pode adicionar filtros para refinar a lista.

    Esta é uma captura de tela da guia Anomalias na seção Visão geral da análise do Ponto de Extremidade

  5. Para ver mais informações sobre um item específico, escolha-o na lista. Você pode ver detalhes como o nome do aplicativo, quais dispositivos são afetados, quando o problema foi detectado pela primeira vez e ocorreu pela última vez, e quaisquer grupos de dispositivos que possam estar contribuindo para o problema.

    Esta é uma captura de tela dos detalhes exibidos quando você seleciona uma anomalia exibida na guia Anomalias

  6. Selecione um grupo de correlação de dispositivos na lista para obter uma exibição detalhada dos fatores comuns dos dispositivos. Os dispositivos são correlacionados com base em um ou mais atributos compartilhados, como versão do aplicativo, atualização do driver, versão do sistema operacional e modelo de dispositivo. Você pode ver o número de dispositivos atualmente afetados pela anomalia e dispositivos em risco de experimentar a anomalia. A taxa de prevalência também mostra o percentual de dispositivos afetados de uma anomalia que são membros de um grupo de correlação.

    Esta é uma captura de tela mostrando grupos de correlação de dispositivos

  7. Selecione Exibir Dispositivos Afetados para exibir uma lista de dispositivos com os principais atributos relevantes para cada dispositivo. Você pode filtrar para exibir dispositivos em grupos de correlação específicos ou mostrar todos os dispositivos afetados por essa anomalia em sua organização. Além disso, o dispositivo linha do tempo mostra eventos mais anômalos.

    Esta é uma captura de tela mostrando uma lista de dispositivos afetados

Modelos estatísticos para determinar anomalias

O Modelo Analítico criado detecta coortes de dispositivos que enfrentam um conjunto anômômal de reinicializações de erro de parada e travas/falhas de aplicativo que precisam de atenção do administrador para mitigar e resolve. Padrões identificados por nossa telemetria de sensor e logs de diagnóstico determinam essas coortes de dispositivos

  • Modelo heurístico baseado em limite: o modelo heurístico envolve a configuração de um ou mais valores de limite para travas/falhas de aplicativo ou parar reinicializações de erro. Os dispositivos serão sinalizados como anômalos se houver uma violação no limite definido acima. O modelo é simples, mas eficaz; é adequado para criar problemas proeminentes ou estáticos com dispositivos ou seus aplicativos. Atualmente, os limites são predeterminados sem uma opção para personalizar. 

  • Modelo de teste t emparelhado: os testes t emparelhados são um método matemático que compara pares de observações em um conjunto de dados, procurando uma distância estatisticamente significativa entre seus meios. Os testes são usados em conjuntos de dados que consistem em observações relacionadas entre si de alguma forma. Por exemplo, contagem de reinicializações de erro de interrupção do mesmo dispositivo antes e depois de uma alteração de política, ou o aplicativo falha em um dispositivo após uma atualização do sistema operacional (sistemas operacionais).

  • Modelo de pontuação Z da população: os modelos estatísticos baseados em pontuação Z da população envolvem calcular o desvio padrão e a média de um conjunto de dados e, em seguida, usar esses valores para determinar quais pontos de dados são anômalos. O desvio padrão e a média são usados para calcular a pontuação Z para cada ponto de dados, o que representa o número de desvios padrão longe da média. Os pontos de dados que estão fora de um determinado intervalo são anômalos. Esse modelo é adequado para realçar dispositivos ou aplicativos outlier da linha de base mais ampla, mas requer conjuntos de dados suficientemente grandes para ser preciso.

  • Modelo de pontuação Z da Série Temporal: os modelos de pontuação Z da série temporal são uma variação do modelo de pontuação Z padrão projetado para detectar anomalias em dados de série temporal. Os dados da série temporal são uma sequência de pontos de dados coletados em intervalos regulares ao longo do tempo, como agregação de Reinicializações de Erro de Parada. O desvio padrão e a média são calculados para uma janela de tempo deslizante, usando métricas agregadas. Esse método permite que o modelo seja sensível a padrões temporais nos dados e se adapte às alterações em sua distribuição ao longo do tempo.

Próximas etapas

Para obter mais informações, confira: