Jak zkoumat upozornění monitorování služby Microsoft Entra Health (preview)

Monitorování služby Microsoft Entra Health pomáhá monitorovat stav vašeho tenanta Microsoft Entra prostřednictvím sady metrik stavu a inteligentních upozornění. Metriky stavu se předávají do naší služby detekce anomálií, která pomocí strojového učení rozumí vzorům vašeho tenanta. Když služba detekce anomálií identifikuje významnou změnu v jednom ze vzorů na úrovni tenanta, aktivuje výstrahu.

Signály a výstrahy poskytované službou Microsoft Entra Health vám poskytnou výchozí bod pro zkoumání potenciálních problémů ve vašem tenantovi. Vzhledem k tomu, že existuje celá řada scénářů a ještě více datových bodů, které je potřeba vzít v úvahu, je důležité pochopit, jak tyto výstrahy efektivně prošetřit. Tento článek obsahuje obecné pokyny k prošetření výstrah. Pokyny pro konkrétní scénáře najdete v souvisejícím obsahu na konci tohoto článku.

Důležitý

Monitorování scénářů a upozornění služby Microsoft Entra Health jsou aktuálně ve verzi PREVIEW. Tyto informace se týkají předběžného produktu, který může být před vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde. Zkušenost s centrem pro správu Microsoft Entra se postupně zpřístupňuje zákazníkům, takže by se mohlo stát, že neuvidíte všechny funkce popsané v tomto článku.

Požadavky

Existují různé role, oprávnění a licenční požadavky, které umožňují zobrazit signály monitorování stavu a konfigurovat a přijímat výstrahy. Doporučujeme použít roli s přístupem s nejnižšími oprávněními, aby to bylo v souladu s pokyny k nulové důvěryhodnosti .

• Tenant s licencí Microsoft Entra P1 nebo P2 se vyžaduje k zobrazení monitorovacích signálů scénáře Microsoft Entra.
• Tenant s ne trialovou licencí Microsoft Entra P1 nebo P2a alespoň 100 měsíčních aktivních uživatelů se vyžaduje k zobrazení upozornění a dostávat oznámení o upozorněních.
• Role čtenáře sestav je nejméně privilegovaná role potřebná k zobrazení signálů monitorování scénářů, výstrah a konfigurací výstrah.
• Správce helpdesku je nejméně privilegovanou rolí potřebnou k aktualizaci výstrah a aktualizaci konfigurace oznámení o výstraze.
• K HealthMonitoringAlert.Read.Allje vyžadováno oprávnění .
• K HealthMonitoringAlert.ReadWrite.Allse vyžaduje oprávnění .
• Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úlohy.

Poznámka

Nově nasazení tenanti nemusí mít dostatek dat k vygenerování výstrah přibližně 30 dnů.

Prozkoumání signálů a upozornění

Monitorovací signály Microsoft Entra Health můžete zobrazit v Centru pro správu Microsoft Entra. Pomocí rozhraní Microsoft Graph APImůžete také zobrazit vlastnosti signálů a veřejný náhled výstrah monitorování stavu.

Když obdržíte upozornění, obvykle potřebujete prozkoumat následující datové sady:

• Metriky: Datový proud nebo signál stavu, který výstrahu způsobil.
• ovlivněné entity: Celkový počet ovlivněných entit. Může zahrnovat uživatele a aplikace.
• protokoly aktivit: Protokoly přihlášení poskytují podrobnosti o ovlivněných uživatelích. Protokoly auditu poskytují přehled o změnách konfigurace aplikace.
• prostředky specifické pro scénář: V závislosti na scénáři možná budete muset prozkoumat další zdroje informací z různých služeb. Například u scénářů souvisejících se zařízeními může být potřeba zkontrolovat zásady dodržování předpisů pro zařízení v Intune.

Administrativní centrum

Signály a výstrahy jsou k dispozici v části Microsoft Entra Health v centru pro správu Microsoft Entra. Bez ohledu na to, jestli prošetřujete výstrahu nebo jen monitorujete stav tenanta, můžete zobrazit signály a výstrahy z Centra pro správu Microsoft Entra.

Zobrazení signálů

1. Přihlaste se do centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte na Identity>Monitorování a zdraví>Zdraví. Stránka se otevře na stránce Dosažení smlouvy o úrovni služeb (SLA).

3. Vyberte kartu monitorování stavu.

   

4. Ze seznamu vyberte scénář. Stránka se otevře na scénáře s aktivními výstrahami, ale pokud chcete zobrazit signály pro jiný scénář, vyberte tlačítko filtr Všechny scénáře.

5. Zobrazte signál v části Zobrazit datový graf. Pokud si prohlížíte scénář s aktivním upozorněním, možná budete muset tuto část rozbalit.

   • Rozsah dat se dá změnit tak, aby se zobrazil posledních 24 hodin, sedm dní nebo předchozí měsíc.
   • Když najedete myší na graf, zobrazí se datové body pro konkrétní bod v čase.
   • Hodnota v dolní části grafu je celkový počet pro daný scénář pro vybraný časový rámec.

Prozkoumání výstrah

Pokud chcete zobrazit tyto podrobnosti z úvodní stránky Monitorování stavu:

1. Vyberte aktivní výstrahu, kterou chcete prozkoumat.

   

2. V části Ovlivněné entity vybraného scénáře vyberte Zobrazit pro typ ovlivněné entity, kterou chcete prozkoumat.

   • Mezi možné entity patří uživatelé a aplikace.
   • Odkaz najdete v článku specifickém pro konkrétní scénář, kde najdete další informace o tom, jak problém prošetřit.

   

3. V podrobnostech, které se zobrazí na panelu, který se otevře, vyberte entitu, kterou chcete prozkoumat podrobněji.

   • Zobrazí se 10 nejvíce ovlivněných entit.
   • Výběrem položky ze seznamu přejdete na stránku profilu uživatele nebo aplikace pro další šetření.

4. Signál pro výstrahu se zobrazí v části Signály. Projděte si signál, abyste pochopili vzor a identifikovali anomálie.

   • Časový rámec ukazuje čas, během kterého došlo k anomálii.

   

5. Po prošetření a případném vyřešení původní příčiny problému můžete výstrahu zavřít. Na stránce aktivní výstrahy zaškrtněte políčko pro tuto výstrahu, poté v nabídce Označit výstrahu jako vyberte možnost Zamítnuto.

   • Ekvivalentní akcí pomocí rozhraní Microsoft Graph API je aktualizovat stav upozornění na resolved.

   

rozhraní Microsoft Graph API

Pomocí rozhraní Microsoft Graph API můžete zobrazit metriky, které tvoří signály stavu a výstrahy, a zkontrolovat souhrn dopadu upozornění na stav.

Pro ukázkové požadavky a odpovědi se podívejte na Seznam objektů výstrah monitorování zdraví.

• Část odpovědi po impacts tvoří souhrn dopadu výstrahy.
• Část supportingData obsahuje úplný dotaz použitý k vygenerování výstrahy.
• Výsledky dotazu zahrnují vše, co služba detekce anomálií identifikovala, ale můžou existovat výsledky, které přímo nesouvisí s upozorněním.

Zobrazení signálů

Prostředek serviceActivity získává metriky, které se začleňují do monitorovacích signálů Microsoft Entra Health, jež jsou vizualizovány v Centru pro správu Microsoft Entra. Další informace najdete v tématu typ prostředku serviceActivity.

1. Přihlaste se k Microsoft Graph Exploreru alespoň jako správce helpdesku a odsouhlaste příslušná oprávnění.
2. V rozevíracím seznamu vyberte GET jako metodu HTTP a nastavte verzi rozhraní API na beta.
3. Spuštěním následujícího dotazu načtěte metriky úspěšnosti přihlášení vícefaktorového ověřování (MFA) během určitého intervalu.

žádost:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInFailure(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Odpověď:

Odpověď ukazuje, kolik úspěšných přihlášení došlo během určitého časového rámce agregovaného v desetiminutových intervalech.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Prozkoumání výstrah

Typ prostředku alert poskytuje podrobnosti o výstrahách monitorování stavu, včetně souhrnu dopadu výstrahy. Další informace o typu prostředku výstrahy najdete v.

Spuštěním následujícího dotazu načtěte všechna aktivní upozornění pro vašeho nájemce.

žádost:

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=state eq microsoft.graph.healthmonitoring.alertState'active'&$select=id, alertType

Odpověď:

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(id,alertType)",
  "value": [
    {
      "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
      "alertType": "mfaSignInFailure"
    },
    {
      "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
       "alertType": "managedDeviceSignInFailure"
    },
  ]
}    

Vyhledejte a uložte id výstrahy, kterou chcete prozkoumat, a spusťte následující dotaz pomocí id jako alertId. Následující dotaz získá podrobnosti výstrahy a rozbalí vlastnost resourceSampling, aby získal ID uživatelů postižených entit.

žádost:

V tomto příkladu používáme typ upozornění mfaSignInFailure, ale hodnota id je zástupná hodnota. Nahraďte jej výstrahou id, kterou chcete prošetřit.

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{id}?$expand=enrichment/impacts/microsoft.graph.healthmonitoring.directoryobjectimpactsummary/resourceSampling&$select=alertType, createdDateTime, enrichment'

Odpověď:

Odpověď je zkrácena pro čitelnost. Odpověď zahrnuje ID ovlivněných entit, která se dají použít v dalších dotazech na přihlašovací aktivitu uživatele. Odpověď rovněž zahrnuje dotazy týkající se souvisejících sestav.

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(enrichment/impacts/microsoft.graph.healthMonitoring.directoryObjectImpactSummary/resourceSampling())/$entity",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "alertType": "mfaSignInFailure",
  "scenario": "mfa",
  "category": "authentication",
  "createdDateTime": "2025-01-10T23:59:41.1216288Z",
  "state": "resolved",
  "enrichment": {
      "state": "enriched",
      "supportingData": null,
      "impacts": [
          {
              "@odata.type": "#microsoft.graph.healthMonitoring.userImpactSummary",
              "resourceType": "User",
              "impactedCount": "4",
              "impactedCountLimitExceeded": false,
              "resourceSampling": [
                  {
                      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                  },
                  {
                      "id": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee"
                  },
                  {
                      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
                  },
                  {
                      "id": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd"
                  }
          ]    
          },
      ]
      "signals": {
          "mfaSignInFailure": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInFailure/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)",
          "mfaSignInSuccess": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInSuccess/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)"
      }
    }
  }    

Jakmile budete mít podrobnosti o ovlivněných entitách, můžete začít řešit potíže, jako jsou přihlašovací aktivity, protokoly auditu a podmíněný přístup.

Aktualizace stavu

Po prošetření a případném vyřešení původní příčiny problému můžete upozornění označit jako vyřešené. Spusťte následující požadavek PATCH. Ekvivalentní akcí pomocí Centra pro správu Microsoft Entra je aktualizovat stav výstrahy na Zamítnuto.

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Content-Type: application/json
{
  "state": "resolved"
}

Související obsah

• přihlášení vyžadující kompatibilní nebo spravovaná zařízení
• přihlášení vyžadující vícefaktorové ověřování
• Dokumentace k rozhraní API pro monitorování a výstrahy Microsoft Graph Health