Jak zkoumat upozornění monitorování služby Microsoft Entra Health (preview)
Článek
Monitorování služby Microsoft Entra Health pomáhá monitorovat stav vašeho tenanta Microsoft Entra prostřednictvím sady metrik stavu a inteligentních upozornění. Metriky stavu se předávají do naší služby detekce anomálií, která pomocí strojového učení rozumí vzorům vašeho tenanta. Když služba detekce anomálií identifikuje významnou změnu v jednom ze vzorů na úrovni tenanta, aktivuje výstrahu.
Signály a výstrahy poskytované službou Microsoft Entra Health vám poskytnou výchozí bod pro zkoumání potenciálních problémů ve vašem tenantovi. Vzhledem k tomu, že existuje celá řada scénářů a ještě více datových bodů, které je potřeba vzít v úvahu, je důležité pochopit, jak tyto výstrahy efektivně prošetřit. Tento článek obsahuje pokyny k prošetření výstrahy, ale není specifické pro žádné výstrahy.
Důležitý
Monitorování scénářů a upozornění služby Microsoft Entra Health jsou aktuálně ve verzi PREVIEW.
Tyto informace se týkají předběžného produktu, který může být před vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde.
Požadavky
Existují různé role, oprávnění a licenční požadavky, které umožňují zobrazit signály monitorování stavu a konfigurovat a přijímat výstrahy. Doporučujeme použít roli s přístupem s nejnižšími oprávněními, aby to bylo v souladu s pokyny k nulové důvěryhodnosti .
Tenant s licencí Microsoft Entra P1 nebo P2 se vyžaduje k zobrazení monitorovacích signálů scénáře Microsoft Entra.
Tenant s licencí Microsoft Entra P1 nebo P2a alespoň 100 měsíčních aktivních uživatelů se vyžaduje k zobrazení výstrah a dostávat oznámení o upozorněních.
Role čtenáře sestav je nejméně privilegovaná role potřebná k zobrazení signálů monitorování scénářů, výstrah a konfigurací výstrah.
Správce helpdesku je nejméně privilegovanou rolí potřebnou k aktualizaci výstrah a aktualizaci konfigurace oznámení o výstraze.
K zobrazení výstrah pomocí rozhraní Microsoft Graph APIje vyžadováno oprávnění HealthMonitoringAlert.Read.All.
K zobrazení a úpravě výstrah pomocí rozhraní Microsoft Graph APIse vyžaduje oprávnění HealthMonitoringAlert.ReadWrite.All .
Nově nasazení tenanti nemusí mít dostatek dat k vygenerování výstrah přibližně 30 dnů.
V současné době jsou výstrahy k dispozici pouze s rozhraním Microsoft Graph API.
Přístup k metrikám a signálům služby Microsoft Entra Health
Monitorovací signály Microsoft Entra Health můžete zobrazit v Centru pro správu Microsoft Entra. Pomocí rozhraní Microsoft Graph APImůžete také zobrazit vlastnosti signálů a veřejný náhled výstrah monitorování stavu.
Přejděte na Identity>Monitorování a zdraví>Zdraví. Stránka se otevře na stránce Dosažení smlouvy o úrovni služeb (SLA).
Vyberte kartu monitorování scénářů.
Vyberte Zobrazit podrobnosti scénáře, který chcete prozkoumat.
Výchozí zobrazení je posledních sedm dnů, ale rozsah dat můžete upravit na 24 hodin, sedm dní nebo jeden měsíc.
Data se aktualizují každých 15 minut.
Tyto signály doporučujeme pravidelně kontrolovat, abyste mohli rozpoznat trendy a vzory tenanta.
Pomocí rozhraní Microsoft Graph API můžete zobrazit metriky, které tvoří signály stavu a výstrahy, a zkontrolovat souhrn dopadu upozornění na stav. Prostředek serviceActivity získává metriky, které se začleňují do monitorovacích signálů Microsoft Entra Health, jež jsou vizualizovány v Centru pro správu Microsoft Entra. Další informace najdete v tématu typ prostředku serviceActivity.
Spouštění těchto dotazů poskytuje počet výskytů aktivity služby během určitého časového rámce. Pokud například chcete zobrazit počet úspěšných přihlášení vícefaktorového ověřování (MFA), spustili byste následující dotaz:
GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)
Odpověď ukazuje, kolik úspěšných přihlášení došlo během určitého časového rámce agregovaného v desetiminutových intervalech.
Vy a váš tým můžete efektivněji monitorovat stav těchto scénářů při konfiguraci e-mailových oznámení. Když obdržíte upozornění nebo pokud se zobrazí změna vzoru, který máte podezření, že by mohlo být potřeba prošetřit, obvykle budete muset prozkoumat následující datové sady:
dopad upozornění: Část odpovědi po impacts kvantifikuje rozsah a shrnuje ovlivněné prostředky. Tyto podrobnosti zahrnují impactCount, abyste mohli určit, jak je problém rozšířený.
Výstražné signály: Datový proud nebo zdravotní signál, který způsobil výstrahu. Dotaz je k dispozici v odpovědi na další šetření.
protokoly přihlášení: V odpovědi se zobrazí dotaz pro další šetření protokolů přihlašování, ve kterých byl vygenerován signál stavu. Protokoly přihlašování poskytují podrobná metadata událostí, která se můžou použít k identifikaci původní příčiny problému.
prostředky specifické pro scénář: V závislosti na scénáři možná budete muset prozkoumat zásady dodržování předpisů Intune nebo zásady podmíněného přístupu. V mnoha případech je v odpovědi k dispozici odkaz na související dokumentaci.
Zobrazení dopadů a signálů
V Microsoft Graphu přidejte následující dotaz, který načte všechna upozornění pro vašeho tenanta.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
Vyhledejte a uložte id výstrahy, kterou chcete prozkoumat.
Přidejte následující dotaz pomocí id jako alertId.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Po shromáždění všech dat souvisejících se scénářem je potřeba zvážit možné původní příčiny a prozkoumat potenciální řešení. Zamyslete se nad závažností výstrahy. Týká se to jenom několika uživatelů, nebo je to rozsáhlý problém? Mají nedávné změny zásad nezamýšlené důsledky?
Doporučujeme pravidelně sledovat data o výstrahách a monitorování stavu, abyste identifikovali trendy a potenciální problémy dříve, než se stanou rozsáhlými problémy.
