Blogs | InSpark

Intune Advanced Analytics

Geschreven door Arne Abbink | Jul 16, 2024 8:40:48 AM

Met Advanced Analytics wordt het mogelijk omvanuit Intunereal-time device informatie uit te lezen door middel van KQL, om vervolgens geautomatiseerde proactieve acties uit te kunnen voeren.

Intune Advanced Analytics is een uitbreiding op de Endpoint Analytics functionaliteit zoals we deze nu al kennen. Endpoint Analytics is een bestaand product waarmee je doormiddel van metingen inzicht kan krijgen in de kwaliteit van de gebruikerservaring. Een voorbeeld hiervan is bijvoorbeeld de opstarttijd van een apparaat waarop een gebruiker inlogt. Een ander voorbeeld zijn de zogenaamde proactive remediations, waarmee op basis van scripts bepaalde problemen voorkomen kunnen voordat de gebruiker het doorheeft en hiervoor een melding aanmaakt bij de helpdesk. 

Wat is Advanced Analytics? 

Om nog meer inzicht te kunnen krijgen biedt Microsoft nu Intune Advanced Analytics aan. Dit is een uitbreiding op het huidige product om nog dieper inzicht te kunnen krijgen. Het is onderdeel van de Intune Suite of kan als add-on worden aangeschaft. Voor nu worden de volgende onderdelen beschikbaar gesteld: 

  • Anomaly detection,  
  • Custom device scopes 
  • Enhanced device timeline 
  • Device query

Anomaly detection monitort apparaten op het gebied van de gebruikerservaring zodat ze gezond blijven en de eindgebruiker geen problemen ondervindt. Dit met het uiteindelijke doel om meldingen naar de helpdesk te voorkomen. Het groepeert issues welke gemeten worden, gaat op zoek naar de oorzaak van het probleem zodat vervolgens door middel van remediation een (geautomatiseerde) oplossing geboden kan worden. Door middel van Artificiële Intelligentie (AI) worden problemen geconstateerd en vervolgens gecorreleerd op apparaten in de organisatie. Hiermee wordt inzichtelijk of bijvoorbeeld een probleem met een applicatie op een bepaald apparaat ook voor problemen kan zorgen op andere apparaten. Hiermee kan dus op een proactieve manier acties worden ondernomen en kan dus ook op een proactieve manier beheer worden uitgevoerd op de appraten. 


Anomaly detection overzicht

Met Enhanced device timeline kan door middel van een tijdslijn naar de historie van het device worden gekeken en worden events inzichtelijk. Om beter inzicht te kunnen krijgen kunnen met Custom device scopes apparaten gegroepeerd worden. Dit gebeurt op basis van Scope tags (specifiek voor Endpoint Analytics) zoals we al kennen in Intune en zorgt ervoor dat de verschillende analytics kunnen worden opgedeeld in device groepen.

Device query

Met Device query is het mogelijk om real-time inzichten te krijgen op een device. We kunnen hiermee dus device informatie ophalen van apparaten waar bijvoorbeeld een afwijking is geconstateerd door anomaly detection. Op deze manier kan de afwijking verder onderzocht worden. Het grote voordeel van deze functionaliteit is dat we het apparaat en de beschikbare informatie real-time en on-demand kunnen benaderen.

De queries worden gemaakt door middel van de Kusto Query Language (KQL). Het is dus belangrijk om kennis te hebben van KQL. We gebruiken op dit moment KQL bijvoorbeeld ook voor Advanced Hunting in Microsoft Defender XDR.


Device query

Device query maakt het bijvoorbeeld mogelijk om queries uit te voeren om informatie te achterhalen over applicaties op het apparaat, informatie uit het Windows register, processen, services en systeem of hardware informatie. Hiermee wordt het dus veel eenvoudiger om apparaten met technische problemen verder te onderzoeken. Eerder was dit een stuk lastiger en ontbrak dit grotendeels in Intune. Hiervoor moest bijvoorbeeld een apparaat van afstand overgenomen worden. Belangrijk om te vermelden is dat Device query in eerste instantie alleen mogelijk is op een enkel apparaat. Ondersteuning om een query voor meerdere appraten uit te voeren komt op een later moment beschikbaar. Microsoft gaat de huidige lijst met informatie waarop een query kan worden uitgevoerd zo snel als mogelijk

Intune Advanced Analytics maakt het mogelijk om meer proactief beheer uit te voeren, eerder problemen op apparaten te kunnen ontdekken en hierop geautomatiseerde acties uit te voeren.