终结点分析中的异常情况检测
注意
此功能作为 Intune 加载项提供。 有关详细信息,请参阅 Intune 加载项。
本文介绍终结点分析中的异常情况检测如何作为预警系统工作。
异常情况检测可监视组织中设备的运行状况,以便在配置更改后实现用户体验和工作效率回归。 发生故障时,异常会关联相关的部署对象,以实现快速故障排除、建议根本原因和修正。
管理员可以依靠异常情况检测来了解影响问题的用户体验,然后才能通过其他渠道到达这些问题。 异常情况检测的初始焦点是应用程序挂起/崩溃和停止错误重启。
概述
通过异常情况检测,可以在系统中检测到潜在问题,以免其成为严重问题。 传统上,支持团队对潜在问题的可见性有限。
通常,他们只会获得通过支持渠道报告/升级的一部分问题,这并不真正代表组织中发生的一切。
他们必须花费无数小时查看自定义仪表板,尝试确定根本原因、进行故障排除、创建自定义警报、更改阈值和调整参数。
异常情况检测旨在通过向 IT 管理员提供关键信息来解决这些问题。
除了检测异常之外,还可以查看设备相关组,以探索中高严重性异常的潜在根本原因。 这些设备队列允许查看在设备之间标识的模式。 我们还通过识别这些队列中的“有风险”的设备,对设备管理采取了主动方法。 这些设备属于高置信度但尚未看到这些异常的已识别模式。
注意
仅针对中等和高严重性异常标识设备队列。
先决条件
许可/订阅:终结点分析中的高级功能在 Intune Suite Microsoft 下作为 Intune-add 提供,并且需要对包括 Intune Microsoft 的许可选项产生额外的费用。
权限:异常情况检测使用内置 角色权限
“异常”选项卡
选择“ 报表>终结点分析>概述”。
选择“ 异常 ”选项卡。“ 异常 ”选项卡提供组织中检测到的异常的快速概述。
在此示例中,“异常”选项卡显示具有中等严重性影响的异常。 可以添加筛选器以优化列表。
若要查看有关特定项的详细信息,请从列表中选择它。 可以查看详细信息,例如应用的名称、受影响的设备、首次检测到问题的时间和最后一次出现问题的时间,以及可能导致问题的任何设备组。
从列表中选择一个设备相关组,以获取设备的常见因素的详细视图。 设备基于一个或多个共享属性(例如应用版本、驱动程序更新、OS 版本和设备模型)进行关联。 可以查看当前受异常情况影响的设备和有出现异常风险的设备数。 患病率还显示属于相关组成员的异常中受影响设备的百分比。
选择“ 查看受影响的设备” 以显示设备列表,其中包含与每个设备相关的关键属性。 可以筛选以查看特定相关组中的设备,或显示组织中受该异常影响的所有设备。 此外,设备时间线显示更多异常事件。
用于确定异常的统计模型
生成的分析模型可检测设备队列面临异常的停止错误重启集,以及需要管理员注意以缓解和解决的应用程序挂起/崩溃。 从传感器遥测和诊断日志识别的模式确定这些设备队列
基于阈值的启发式模型:启发式模型涉及为应用程序挂起/崩溃或停止错误重启设置一个或多个阈值。 如果上述设置的阈值中存在违规,设备将被标记为异常。 模型简单但有效:它适用于显示设备或其应用的突出问题或静态问题。 目前,阈值是预先确定的,没有自定义选项。
配对 t 测试模型:配对 t 检验是一种数学方法,用于比较数据集中的观察结果对,查找它们之间的统计显著距离。 测试用于数据集,这些数据集由以某种方式相互关联的观察值组成。 例如,在策略更改之前和之后,从同一设备停止错误重启的计数,或者在操作系统 (操作系统) 更新后,应用在设备上崩溃的计数。
总体 Z 评分模型:基于总体 Z 分数的统计模型涉及计算数据集的标准偏差和平均值,然后使用这些值来确定哪些数据点是异常的。 标准偏差和平均值用于计算每个数据点的 Z 分数,表示与平均值相距的标准偏差数。 超出特定范围的数据点是异常的。 此模型非常适合从更宽的基线突出显示离群值设备或应用,但需要足够大的数据集才能准确。
时序 Z 评分模型:时序 Z 评分模型是标准 Z 评分模型的变体,旨在检测时序数据中的异常情况。 时序数据是定期收集的一系列数据点,例如停止错误重启的聚合。 标准偏差和平均值是使用聚合指标针对滑动时间窗口计算的。 此方法允许模型对数据中的时态模式敏感,并适应其分布随时间的变化。
后续步骤
有关详细信息,请转到: