Untersuchen von Microsoft Entra Health-Überwachungswarnungen (Vorschau)

Microsoft Entra Health Monitoring hilft Ihnen, die Gesundheit Ihres Microsoft Entra-Mandanten über eine Reihe von Gesundheitsmetriken und intelligenten Warnungen zu überwachen. Gesundheitsmetriken werden in unseren Anomalieerkennungsdienst eingespeist, der maschinelles Lernen verwendet, um die Muster für Ihren Mandanten zu erkennen. Wenn der Anomalieerkennungsdienst eine signifikante Änderung in einem der Muster auf Mandantenebene identifiziert, löst er eine Warnung aus.

Die von Microsoft Entra Health bereitgestellten Signale und Warnungen stellen den Ausgangspunkt für die Untersuchung potenzieller Probleme in Ihrem Mandanten dar. Da es eine Vielzahl von Szenarien und noch mehr zu berücksichtigenden Datenpunkten gibt, ist es wichtig zu verstehen, wie diese Warnungen effektiv untersucht werden. Dieser Artikel enthält Anleitungen zum Untersuchen einer Warnung, ist jedoch nicht spezifisch für eine Warnung.

Wichtig

Die Überwachung von Microsoft Entra Health-Szenarien und Microsoft Entra Health-Warnungen befinden sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.

Voraussetzungen

Es gibt unterschiedliche Rollen, Berechtigungen und Lizenzanforderungen zum Anzeigen von Signalen zur Systemüberwachung und zum Konfigurieren und Empfangen von Warnungen. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.

• Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz ist erforderlich, um die Überwachungssignale des Microsoft Entra-Integritätsszenarios anzuzeigen.
• Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenzund mindestens 100 monatlich aktiven Benutzenden ist erforderlich, um Warnungen anzuzeigen und Warnungsbenachrichtigungen zu empfangen.
• Die Rolle für Berichtsleseberechtigte ist die am wenigsten privilegierte Rolle, die zum Anzeigen von Szenarioüberwachungssignalen, Warnungen und Warnungskonfigurationen erforderlich ist.
• Der Helpdeskadministrator ist die am wenigsten privilegierte Rolle, die zum Aktualisieren von Warnungen und zum Aktualisieren von Updatebenachrichtigungskonfigurationen erforderlich ist.
• Die Berechtigung „HealthMonitoringAlert.Read.All“ ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen.
• Die Berechtigung HealthMonitoringAlert.ReadWrite.All ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen und zu ändern.
• Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Bekannte Einschränkungen

• Neu eingebundene Mandanten verfügen möglicherweise nicht über genügend Daten, um etwa 30 Tage lang Warnmeldungen zu generieren.
• Derzeit sind Warnungen nur mit der Microsoft Graph-API verfügbar.

Zugreifen auf Microsoft Entra Health-Metriken und -Signale

Sie können die Microsoft Entra Health-Überwachungssignale im Microsoft Entra Admin Center anzeigen. Sie können die Eigenschaften der Signale und die öffentliche Vorschau der Systemüberwachungswarnungen auch mithilfe von Microsoft Graph-APIs anzeigen.

Admin-Zentrum

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle für Berichtleseberechtigte an.

2. Navigieren Sie zu Identität>Überwachung und Integrität>Integrität. Die Seite mit den SLA-Ergebnissen (Service Level Agreement, Vereinbarung zum Servicelevel) wird geöffnet.

3. Wählen Sie die Registerkarte Szenarioüberwachung aus.

   

4. Wählen Sie Details anzeigen für das Szenario aus, das Sie untersuchen möchten.

   • Die Standardansicht ist die letzte sieben Tage, Aber Sie können den Datumsbereich auf 24 Stunden, sieben Tage oder einen Monat anpassen.
   • Die Daten werden alle 15 Minuten aktualisiert.
   • Es wird empfohlen, diese Signale regelmäßig zu überprüfen, damit Sie die Trends und Muster Ihres Mandanten erkennen können.

   

Microsoft Graph-API

Mit den Microsoft Graph-APIs können Sie die Metriken anzeigen, aus denen die Gesundheitssignale und Warnungen bestehen, und die Auswirkungszusammenfassung für eine Gesundheitswarnung überprüfen. Die Ressource serviceActivity ruft die Metriken ab, die in die Microsoft Entra Health-Überwachungssignale einfließen und im Microsoft Entra Admin Center visualisiert werden. Weitere Informationen finden Sie unter serviceActivity-Ressourcentyp.

Das Ausführen dieser Abfragen stellt die Häufigkeit bereit, mit der die Dienstaktivität während eines bestimmten Zeitrahmens aufgetreten ist. Um beispielsweise die Anzahl der erfolgreichen mehrstufigen Authentifizierungsanmeldungen (MFA) anzuzeigen, führen Sie die folgende Abfrage aus:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Die Antwort zeigt, wie viele erfolgreiche Anmeldungen während des spezifischen Zeitrahmens aufgetreten sind, aggregiert in zehnminütigen Intervallen.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Untersuchen der Warnung und Signale

Sie und Ihr Team können die Gesundheit dieser Szenarien effektiver überwachen, indem Sie E-Mail-Benachrichtigungen konfigurieren. Wenn Sie eine Benachrichtigung erhalten oder eine Änderung in einem Muster sehen, bei dem Sie vermuten, dass eine Untersuchung erforderlich ist, müssen Sie in der Regel die folgenden Datensätze untersuchen:

• Warnungswirkung: Der Teil der Antwort nach impacts beschreibt den Umfang und fasst die betroffenen Ressourcen zusammen. Zu diesen Details gehört der impactCount-Wert, damit Sie bestimmen können, wie weit verbreitet das Problem ist.
• Warnungssignale: Der Datenstrom oder das Integritätssignal, das die Benachrichtigung ausgelöst hat. In der Antwort wird eine Abfrage zur weiteren Untersuchung bereitgestellt.
• Anmeldeprotokolle: In der Antwort wird eine Abfrage zur weiteren Untersuchung der Anmeldeprotokolle bereitgestellt, in denen das Integritätssignal generiert wurde. Die Anmeldeprotokolle stellen detaillierte Ereignismetadaten bereit, mit denen die Ursache eines Problems identifiziert werden kann.
• Szenariospezifische Ressourcen: Je nach Szenario müssen Sie möglicherweise Intune-Compliancerichtlinien oder Richtlinien für bedingten Zugriff untersuchen. In vielen Fällen wird in der Antwort ein Link zu verwandten Dokumentationen bereitgestellt.

Auswirkungen und Signale ansehen

1. Fügen Sie in Microsoft Graph die folgende Abfrage hinzu, um alle Warnungen für Ihren Mandanten abzurufen.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. Suchen und speichern Sie den id-Wert der Warnung, die Sie untersuchen möchten.

3. Fügen Sie die folgende Abfrage mit id als alertId hinzu.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

Beispielanforderungen und -antworten finden Sie unter Benachrichtigungsobjekte für die Integritätsüberwachungsliste.

• Der Teil der Antwort nach impacts bildet die Zusammenfassung der Auswirkungen für die Warnung.
• Der supportingData Abschnitt enthält die vollständige Abfrage, die zum Generieren der Warnung verwendet wird.
• Die Ergebnisse der Abfrage enthalten alles, was vom Anomalieerkennungsdienst identifiziert wurde, aber es können Ergebnisse vorhanden sein, die nicht direkt mit der Warnung zusammenhängen.

Anzeigen der Anmeldeprotokolle

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle für Berichtleseberechtigte an.
   • Wenn Sie Richtlinien für bedingten Zugriff ändern müssen, benötigen Sie die Rolle des Administrators für bedingten Zugriff.
2. Navigieren Sie zu Überwachung und Integrität>Anmeldeprotokolle.
   • Passen Sie den Zeitraum so an, dass er dem Warnzeitrahmen entspricht.
   • Fügen Sie einen Filter für bedingten Zugriff hinzu.
   • Wählen Sie einen Protokolleintrag aus, um die Anmeldeprotokolldetails anzuzeigen, und wählen Sie die Registerkarte "Bedingter Zugriff" aus, um die angewendeten Richtlinien anzuzeigen.

Betrachten Sie die szenariospezifischen Ressourcen

Jede Warnung kann über einen anderen Datensatz verfügen, der untersucht werden soll. Ausführliche Informationen zu jedem Warnungstyp finden Sie in den folgenden Artikeln:

• Anmeldungen, die ein kompatibles oder verwaltetes Gerät erfordern
• Anmeldungen, die Multi-Faktor-Authentifizierung (MFA) erfordern

Analyse der möglichen Hauptursachen

Nachdem Sie alle Daten im Zusammenhang mit dem Szenario gesammelt haben, müssen Sie mögliche Ursachen berücksichtigen und potenzielle Lösungen recherchieren. Denken Sie an die Ernsthaftigkeit der Warnung. Sind nur eine Handvoll Benutzer betroffen, oder handelt es sich um ein weit verbreitetes Problem? Hat eine kürzlich vorgenommene Richtlinienänderung unbeabsichtigte Folgen?

Wir empfehlen, die Warnungen und Gesundheitsüberwachungsdaten regelmäßig zu betrachten, um Trends und potenzielle Probleme zu identifizieren, bevor sie zu weitreichenden Problemen werden.

Verwandte Inhalte

• Anmeldungen, die ein kompatibles oder verwaltetes Gerät erfordern
• Anmeldungen, die MFA erfordern
• API-Dokumentation zu Health-Überwachungswarnungen in Microsoft Graph