Freigeben über


Anomalieerkennung in der Endpunktanalyse

Hinweis

Diese Funktion ist als Intune-Add-On verfügbar. Weitere Informationen finden Sie unter Intune-Add-Ons.

In diesem Artikel wird erläutert, wie die Anomalieerkennung in der Endpunktanalyse als Frühwarnsystem funktioniert.

Die Anomalieerkennung überwacht die Integrität von Geräten in Ihrer Organisation auf Benutzerfreundlichkeit und Produktivitätsregressionen nach Konfigurationsänderungen. Wenn ein Fehler auftritt, korreliert Anomalien relevante Bereitstellungsobjekte, um eine schnelle Problembehandlung zu ermöglichen, Grundursachen vorzuschlagen und Abhilfemaßnahmen zu ermöglichen.

Administratoren können sich auf die Anomalieerkennung verlassen, um mehr über die Benutzererfahrung zu erfahren, die Sich auf Probleme auswirkt, bevor sie sie über andere Kanäle erreichen. Der anfängliche Fokus für die Anomalieerkennung liegt auf Anwendungsausfällen/-abstürze und Fehlerneustarts beenden.

Übersicht

Mit der Anomalieerkennung können Sie potenzielle Probleme in einem System erkennen, bevor sie zu einem schwerwiegenden Problem werden. In der Tradition haben Supportteams nur eingeschränkte Einblicke in potenzielle Probleme.

  • häufig erhalten sie nur eine Teilmenge der gemeldeten/eskalierten Probleme über den Supportkanal, was nicht wirklich repräsentativ für alles ist, was in Ihrer Organisation vor sich geht.

  • Sie müssen unzählige Stunden damit verbringen, benutzerdefinierte Dashboards zu überprüfen, um die Grundursache zu identifizieren, Probleme zu beheben, benutzerdefinierte Warnungen zu erstellen, Schwellenwerte zu ändern und Parameter zu optimieren.

Die Anomalieerkennung zielt darauf ab, diese Probleme zu beheben, indem IT-Administratoren wichtige Informationen zur Verwaltung wichtiger Informationen bereitgestellt werden.

Zusätzlich zur Erkennung von Anomalien können Sie Gerätekorrelationsgruppen anzeigen, um mögliche Ursachen für Anomalien mit mittlerem und hohem Schweregrad zu untersuchen. Mit diesen Gerätekohorten können Sie Muster anzeigen, die zwischen Geräten identifiziert wurden. Wir haben einen proaktiven Ansatz für die Geräteverwaltung verfolgt, indem wir auch "gefährdete" Geräte in diesen Kohorten identifizieren. Dies sind die Geräte, die unter die identifizierten Muster mit hoher Zuverlässigkeit fallen, aber diese Anomalien noch nicht gesehen haben.

Hinweis

Gerätekohorten werden nur bei Anomalien mit mittlerem und hohem Schweregrad identifiziert.

Voraussetzungen

  • Lizenzierung/Abonnements: Die erweiterten Features in Endpoint Analytics sind als Intune-Add-On unter Microsoft Intune Suite enthalten und erfordern zusätzliche Kosten für die Lizenzierungsoptionen, die Microsoft Intune enthalten.

  • Berechtigungen: Bei der Anomalieerkennung werden integrierte Rollenberechtigungen verwendet.

Registerkarte "Anomalien"

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Berichtsendpunktanalyse>>Übersicht aus.

  3. Wählen Sie die Registerkarte Anomalien aus. Die Registerkarte Anomalien bietet einen schnellen Überblick über die in Ihrer Organisation erkannten Anomalien.

  4. In diesem Beispiel zeigt die Registerkarte Anomalien eine Anomalie mit mittleren Schweregraden . Sie können Filter hinzufügen, um die Liste zu verfeinern.

    Screenshot der Registerkarte

  5. Um weitere Informationen zu einem bestimmten Element anzuzeigen, wählen Sie es aus der Liste aus. Sie sehen Details wie den Namen der App, welche Geräte betroffen sind, wann das Problem zum ersten Mal erkannt und zuletzt aufgetreten ist, und alle Gerätegruppen, die möglicherweise zum Problem beitragen.

    Dies ist ein Screenshot der Details, die angezeigt werden, wenn Sie eine Anomalie auswählen, die auf der Registerkarte Anomalie angezeigt wird.

  6. Wählen Sie eine Gerätekorrelationsgruppe aus der Liste aus, um eine detaillierte Ansicht der allgemeinen Faktoren der Geräte zu erhalten. Geräte werden basierend auf einem oder mehreren freigegebenen Attributen korreliert, z. B. App-Version, Treiberupdate, Betriebssystemversion und Gerätemodell. Sie können die Anzahl der Geräte anzeigen, die derzeit von der Anomalie betroffen sind, und Geräte, bei denen das Risiko besteht, dass die Anomalie auftritt. Die Prävalenzrate zeigt auch den Prozentsatz der betroffenen Geräte von einer Anomalie an, die Mitglieder einer Korrelationsgruppe sind.

    Screenshot: Gerätekorrelationsgruppen

  7. Wählen Sie Betroffene Geräte anzeigen aus, um eine Liste der Geräte mit wichtigen Attributen anzuzeigen, die für jedes Gerät relevant sind. Sie können filtern, um Geräte in bestimmten Korrelationsgruppen anzuzeigen oder alle Geräte anzuzeigen, die von dieser Anomalie in Ihrer Organisation betroffen sind. Darüber hinaus werden auf der Gerätezeitachse weitere anomale Ereignisse angezeigt.

    Screenshot: Liste der betroffenen Geräte

Statistische Modelle zum Bestimmen von Anomalien

Das erstellte Analysemodell erkennt Gerätekohorten mit anomalen Neustarts von Stoppfehlern und Abstürzen der Anwendung, die den Administrator zur Behebung und Behebung benötigen. Anhand unserer Sensortelemetrie- und Diagnoseprotokolle identifizierte Muster bestimmen diese Gerätekohorten

  • Schwellenwertbasiertes heuristisches Modell: Das heuristische Modell umfasst das Festlegen eines oder mehrerer Schwellenwerte für "Application Hangs/Abstürze" oder "Fehlerneustarts beenden". Geräte werden als anormale Gekennzeichnet, wenn eine Verletzung des oben festgelegten Schwellenwerts vorliegt. Das Modell ist einfach und dennoch effektiv; Es eignet sich für das Auftreten von prominenten oder statischen Problemen mit Geräten oder deren Apps. Derzeit sind die Schwellenwerte vorab festgelegt, ohne dass eine Option zum Anpassen vorhanden ist. 

  • Gekoppeltes t-Testmodell: Gekoppelte t-Tests sind eine mathematische Methode, die Paare von Beobachtungen in einem Dataset vergleicht und nach einer statistisch signifikanten Entfernung zwischen ihren Mittelwerten sucht. Tests werden für Datasets verwendet, die aus Beobachtungen bestehen, die in irgendeiner Weise miteinander in Beziehung stehen. Beispielsweise die Anzahl der Neustarts von Stoppfehlern vom gleichen Gerät vor und nach einer Richtlinienänderung, oder die App stürzt auf einem Gerät nach einem Betriebssystemupdate (Betriebssystem) ab.

  • Population Z-Score-Modell: Auf population Z-score basierende statistische Modelle umfassen die Berechnung der Standardabweichung und des Mittelwerts eines Datasets und dann die Verwendung dieser Werte, um zu bestimmen, welche Datenpunkte anomale Sind. Standardabweichung und Mittelwert werden verwendet, um den Z-Score für jeden Datenpunkt zu berechnen, der die Anzahl der Standardabweichungen darstellt, die vom Mittelwert entfernt sind. Datenpunkte, die außerhalb eines bestimmten Bereichs liegen, sind anomale. Dieses Modell eignet sich gut zum Hervorheben von Ausreißergeräten oder Apps aus der breiteren Basislinie, erfordert jedoch ausreichend große Datasets, um genau zu sein.

  • Zeitreihen-Z-Score-Modell: Z-Score-Zeitreihenmodelle sind eine Variante des Z-Score-Standardmodells, das zum Erkennen von Anomalien in Zeitreihendaten entwickelt wurde. Zeitreihendaten sind eine Sequenz von Datenpunkten, die in regelmäßigen Abständen im Laufe der Zeit gesammelt werden, z. B. das Aggregat von Stoppfehlerneustarts. Standardabweichung und Mittelwert werden für ein gleitendes Zeitfenster mit aggregierten Metriken berechnet. Diese Methode ermöglicht es dem Modell, gegenüber temporalen Mustern in den Daten empfindlich zu sein und sich im Laufe der Zeit an Änderungen der Verteilung anzupassen.

Nächste Schritte

Weitere Informationen finden Sie unter: