Cómo investigar las alertas de supervisión de Microsoft Entra Health (versión preliminar)

La supervisión de Microsoft Entra Health le ayuda a supervisar el estado de su inquilino de Microsoft Entra a través de un conjunto de métricas de mantenimiento y alertas inteligentes. Las métricas de mantenimiento se introducen en nuestro servicio de detección de anomalías, que usa el aprendizaje automático para comprender los patrones de su inquilino. Cuando el servicio de detección de anomalías identifica un cambio significativo en uno de los patrones de nivel de inquilino, desencadena una alerta.

Las señales y alertas proporcionadas por Microsoft Entra Health proporcionan el punto de partida para investigar posibles problemas en el inquilino. Dado que hay una amplia gama de escenarios e incluso más puntos de datos que se deben tener en cuenta, es importante comprender cómo investigar estas alertas de forma eficaz. En este artículo se proporcionan instrucciones sobre cómo investigar una alerta, pero no es específica de ninguna alerta.

Importante

La supervisión y las alertas del escenario de Microsoft Entra Health se encuentran actualmente en versión preliminar. Esta información está relacionada con un producto de versión preliminar que podría modificarse sustancialmente antes del lanzamiento. Microsoft no otorga ninguna garantía, explícita o implícita, con respecto a la información proporcionada aquí.

Requisitos previos

Hay diferentes roles, permisos y requisitos de licencia para ver las señales de supervisión de estado y configurar y recibir alertas. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero.

• Se requiere un inquilino con una licencia Microsoft Entra P1 o P2 para ver las señales de supervisión del escenario de mantenimiento de Microsoft Entra.
• Se requiere un inquilino con licencia de Microsoft Entra P1 o P2y al menos 100 usuarios activos mensuales para ver las alertas y recibir notificaciones de alerta.
• El rol Lector de informes es el rol con menos privilegios necesario para ver señales de supervisión de escenarios, alertas y configuraciones de alertas.
• El Administrador del departamento de soporte técnico es el rol con privilegios mínimos necesario para actualizar las alertas y actualizar las configuraciones de notificaciones de alertas.
• El permiso HealthMonitoringAlert.Read.All es necesario para ver las alertas mediante la Microsoft Graph API.
• El permiso HealthMonitoringAlert.ReadWrite.All es necesario para ver y modificar las alertas mediante Microsoft Graph API.
• Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.

Restricciones conocidas

• Es posible que los inquilinos recién incorporados no tengan suficientes datos para generar alertas durante unos 30 días.
• Actualmente, las alertas solo están disponibles con Microsoft Graph API.

Acceso a las métricas y señales de Microsoft Entra Health

Puede ver las señales de supervisión de Microsoft Entra Health desde el Centro de administración de Microsoft Entra. También puede ver las propiedades de las señales y la versión preliminar pública de las alertas de supervisión de estado mediante API de Microsoft Graph.

Centro de administración

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.

2. Vaya a Identidad>Supervisión y estado>Estado. La página se abre en la página de Cumplimiento del Acuerdo de Nivel de Servicio (SLA).

3. Seleccione la pestaña Supervisión de escenarios.

   

4. Seleccione Ver detalles para el escenario que desea investigar.

   • La vista predeterminada es los últimos siete días, pero puede ajustar el intervalo de fechas a 24 horas, siete días o un mes.
   • Los datos se actualizan cada 15 minutos.
   • Se recomienda revisar estas señales según una programación regular para que pueda reconocer las tendencias y patrones de su inquilino.

   

Microsoft Graph API

Con las API de Microsoft Graph, puede ver las métricas que componen las señales de estado y las alertas y revisar el resumen de impacto de una alerta de estado. El recurso serviceActivity obtiene las métricas que alimentan las señales de supervisión de estado de salud de Microsoft Entra, que se visualizan en el Centro de administración de Microsoft Entra. Para obtener más información, consulte tipo de recurso serviceActivity.

La ejecución de estas consultas proporciona el número de veces que se produjo la actividad del servicio durante un período de tiempo específico. Por ejemplo, para ver el número de inicios de sesión con autenticación multifactor (MFA) correctos, ejecutarías la siguiente consulta:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

La respuesta muestra cuántos inicios de sesión exitosos se produjeron durante el período de tiempo específico, organizados en intervalos de diez minutos.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Investigación de la alerta y las señales

Usted y su equipo pueden supervisar de forma más eficaz el estado de estos escenarios al configurar notificaciones por correo electrónico. Al recibir una alerta, o si ve un cambio en un patrón que sospecha que podría necesitar investigación, normalmente necesita investigar los siguientes conjuntos de datos:

• Impacto de Alerta: La parte de la respuesta después de impacts cuantifica el alcance y resume los recursos afectados. Estos detalles incluyen el impactCount para que pueda determinar el alcance del problema.
• Señales de alerta: el flujo de datos o la señal de salud que provocó la alerta. Se proporciona una consulta en la respuesta para una investigación más detallada.
• Registros de inicio de sesión: se proporciona una consulta en la respuesta para investigar mejor los registros de inicio de sesión en los que se generó la señal de mantenimiento. Los registros de inicio de sesión proporcionan metadatos de eventos detallados que se pueden usar para identificar la causa principal de un problema.
• Recursos específicos del escenario: en función del escenario, es posible que tenga que investigar las directivas de cumplimiento de Intune o las directivas de acceso condicional. En muchos casos, se proporciona un vínculo a la documentación relacionada en la respuesta.

Visualización de los impactos y señales

1. En Microsoft Graph, agregue la siguiente consulta para recuperar todas las alertas del inquilino.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. Busque y guarde la id de la alerta que desea investigar.

3. Agregue la siguiente consulta utilizando id como alertId.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

Para obtener solicitudes y respuestas de ejemplo, consulte Objetos de alerta de lista de supervisión de estado.

• La parte de la respuesta después de impacts constituye el resumen del impacto de la alerta.
• La parte supportingData incluye la consulta completa que se usa para generar la alerta.
• Los resultados de la consulta incluyen todo lo identificado por el servicio de detección de anomalías, pero puede haber resultados que no estén directamente relacionados con la alerta.

Visualización de los registros de inicio de sesión

1. Inicie sesión en el Centro de administración Microsoft Entra como, al menos, Lector de informes.
   • Si necesita modificar las directivas de acceso condicional, necesita el rol administrador de acceso condicional.
2. Vaya a Supervisión y mantenimiento>Registros de inicio de sesión.
   • Ajuste el intervalo de tiempo para que coincida con el período de tiempo de alerta.
   • Agregue un filtro para el acceso condicional.
   • Seleccione una entrada de registro para ver los detalles de los registros de inicio de sesión y seleccione la pestaña Acceso condicional para ver las directivas que se aplicaron.

Visualización de los recursos específicos del escenario

Cada alerta puede tener un conjunto de datos diferente para investigar. Para obtener más información sobre cada tipo de alerta, consulte los artículos siguientes:

• Inicios de sesión que requieren un dispositivo compatible o administrado
• Inicios de sesión que requieren autenticación multifactor (MFA)

Analizar las posibles causas principales

Después de recopilar todos los datos relacionados con el escenario, debe tener en cuenta posibles causas principales e investigar posibles soluciones. Piense en la gravedad de la alerta. ¿Solo se ven afectados algunos usuarios o es un problema generalizado? ¿Un cambio de política reciente ha tenido consecuencias no deseadas?

Se recomienda examinar periódicamente las alertas y los datos de supervisión de estado para identificar tendencias y posibles problemas antes de que se conviertan en problemas generalizados.

Contenido relacionado

• Inicios de sesión que requieren un dispositivo compatible o administrado
• Inicios de sesión que requieren MFA
• Documentación de la API para supervisar alertas de salud de Microsoft Graph