Comment examiner les alertes de surveillance de Microsoft Entra Health (aperçu)

La surveillance Microsoft Entra Health vous aide à surveiller la santé de votre instance Microsoft Entra via un ensemble d’indicateurs de santé et d’alertes intelligentes. Les métriques de santé sont transmises à notre service de détection d’anomalies, qui utilise l'apprentissage automatique pour comprendre les modèles de votre client. Lorsque le service de détection des anomalies identifie une modification significative dans l’un des modèles au niveau du locataire, il déclenche une alerte.

Les signaux et les alertes fournis par Microsoft Entra Health vous fournissent le point de départ de l’examen des problèmes potentiels dans votre locataire. Étant donné qu’il existe un large éventail de scénarios et encore plus de points de données à prendre en compte, il est important de comprendre comment examiner ces alertes efficacement. Cet article fournit des conseils sur la façon d’examiner une alerte, mais n’est pas spécifique à une alerte.

Important

Le monitoring et les alertes des scénarios d’intégrité Microsoft Entra sont actuellement en PRÉVERSION. Ces informations concernent un produit en préversion susceptible d’être sensiblement modifié avant sa sortie. Microsoft n’offre aucune garantie, exprimée ou implicite, en ce qui concerne les informations fournies ici.

Conditions préalables

Il existe différents rôles, autorisations et exigences de licence pour afficher les signaux de surveillance de l'état de santé et configurer ainsi que recevoir des alertes. Nous vous recommandons d’utiliser un rôle avec des droits minimums pour s’aligner sur les conseils de l’approche Zero Trust .

• Un locataire disposant d’une licence Microsoft Entra P1 ou P2 est nécessaire pour voir les signaux de monitoring de scénarios d’intégrité Microsoft Entra.
• Un locataire disposant à la fois d’une licence Microsoft Entra P1 ou P2 et d’au moins 100 utilisateurs actifs mensuels est nécessaire pour voir les alertes et recevoir des notifications d’alerte.
• Le rôle Lecteur de rapports est le rôle privilégié avec droits d’accès minimaux dont vous devez disposer pour voir les signaux de monitoring de scénarios, les alertes et les configurations d’alerte.
• L’administrateur du support technique est le rôle le moins privilégié requis pour mettre à jour les alertes et mettre à jour les configurations de notification d’alerte.
• L’autorisation HealthMonitoringAlert.Read.All est requise pour afficher les alertes à l’aide de l’API Microsoft Graph.
• L’autorisation HealthMonitoringAlert.ReadWrite.All est requise pour afficher et modifier les alertes à l’aide de l’API Microsoft Graph.
• Pour obtenir la liste complète des rôles, consultez rôle avec privilèges minimum par tâche.

Limitations connues

• Les locataires nouvellement intégrés peuvent ne pas avoir suffisamment de données pour générer des alertes pendant environ 30 jours.
• Actuellement, les alertes sont disponibles uniquement avec l’API Microsoft Graph.

Accéder aux métriques et signaux Microsoft Entra Health

Vous pouvez afficher les signaux de surveillance Microsoft Entra Health à partir du Centre d’administration Microsoft Entra. Vous pouvez également afficher les propriétés des signaux et l'aperçu public des alertes de surveillance de la santé à l’aide de API Microsoft Graph.

centre d’administration

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.

2. Accédez à Identité>Monitoring et intégrité>Intégrité. La page s'ouvre sur la page de réalisation du contrat de niveau de service (SLA).

3. Sélectionnez l’onglet Monitoring du scénario.

   

4. Sélectionnez Afficher les détails pour le scénario que vous souhaitez examiner.

   • La vue par défaut est les sept derniers jours, mais vous pouvez ajuster la plage de dates à 24 heures, sept jours ou un mois.
   • Les données sont mises à jour toutes les 15 minutes.
   • Nous vous recommandons d’examiner ces signaux selon une planification régulière afin de pouvoir reconnaître les tendances et les modèles de votre locataire.

   

API Microsoft Graph

Avec les API Microsoft Graph, vous pouvez afficher les métriques qui composent les signaux d’intégrité et les alertes et passer en revue le résumé de l’impact d’une alerte d’intégrité. La ressource serviceActivity obtient les métriques qui alimentent les signaux de surveillance Microsoft Entra Health, qui sont visualisées dans le Centre d’administration Microsoft Entra. Pour plus d’informations, consultez Types de ressources serviceActivity.

L’exécution de ces requêtes fournit le nombre de fois où l’activité de service s’est produite pendant une période donnée. Par exemple, pour voir le nombre de connexions multifacteur réussies (MFA), vous exécuterez la requête suivante :

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

La réponse indique le nombre de connexions réussies au cours de l’intervalle de temps spécifique, agrégé dans des intervalles de dix minutes.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Examiner l’alerte et les signaux

Vous et votre équipe pouvez surveiller plus efficacement l’intégrité de ces scénarios lorsque vous configurez des notifications par e-mail. Lorsque vous recevez une alerte ou si vous voyez une modification d’un modèle que vous suspectez peut avoir besoin d’une investigation, vous devez généralement examiner les jeux de données suivants :

• Impact de l’alerte: la partie de la réponse après impacts quantifie l’étendue et résume les ressources affectées. Ces détails incluent l'impactCount afin de déterminer l’ampleur du problème.
• Signaux d’alerte : le flux de données ou signal d’intégrité ayant provoqué l’alerte. Une requête est fournie dans la réponse pour une enquête plus approfondie.
• Journaux d’activité de connexion : une requête est fournie dans la réponse pour examen approfondi dans les journaux d’activité de connexion où le signal d’intégrité a été généré. Les journaux de connexion fournissent des métadonnées d’événement détaillées qui peuvent être utilisées pour identifier la cause racine d’un problème.
• ressources spécifiques au scénario: selon le scénario, vous devrez peut-être examiner les stratégies de conformité Intune ou les stratégies d’accès conditionnel. Dans de nombreux cas, un lien vers la documentation associée est fourni dans la réponse.

Afficher les impacts et les signaux

1. Dans Microsoft Graph, ajoutez la requête suivante pour récupérer toutes les alertes de votre locataire.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. Recherchez et enregistrez la id de l’alerte que vous souhaitez examiner.

3. Ajoutez la requête suivante à l’aide de id comme alertId.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

Pour obtenir des exemples de requête et de réponse, consultez Objets d’alerte de liste du monitoring de l’intégrité.

• La partie de la réponse après impacts compose le résumé de l’impact de l’alerte.
• La partie supportingData inclut la requête complète utilisée pour générer l’alerte.
• Les résultats de la requête incluent tous les éléments identifiés par le service de détection d’anomalies, mais il peut y avoir des résultats qui ne sont pas directement liés à l’alerte.

Afficher les journaux de connexion

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
   • Si vous devez modifier des stratégies d’accès conditionnel, vous avez besoin du rôle Administrateur d’accès conditionnel.
2. Accédez à Monitoring et intégrité>Journaux d’activité de connexion.
   • Ajustez l’intervalle de temps pour qu’il corresponde à l’intervalle de temps d’alerte.
   • Ajoutez un filtre pour l’accès conditionnel.
   • Sélectionnez une entrée du journal pour afficher les détails des journaux d’activité de connexion et sélectionnez l’onglet Accès conditionnel pour voir les stratégies qui ont été appliquées.

Afficher les ressources spécifiques au scénario

Chaque alerte peut avoir un jeu de données différent à examiner. Pour plus d’informations sur chaque type d’alerte, consultez les articles suivants :

• Connexions nécessitant un appareil conforme ou géré
• Connexions nécessitant l’authentification multifacteur (MFA)

Analyser les causes racines possibles

Après avoir collecté toutes les données relatives au scénario, vous devez prendre en compte les causes racines possibles et rechercher des solutions potentielles. Réfléchissez à la gravité de l’alerte. Seuls quelques utilisateurs sont-ils affectés ou s’agit-il d’un problème répandu ? Un changement de politique récent a-t-il eu des conséquences inattendues ?

Nous vous recommandons d’examiner régulièrement les alertes et les données de surveillance de la santé pour identifier les tendances et les problèmes potentiels avant qu’ils ne deviennent des problèmes généralisés.

Contenu connexe

• Connexions nécessitant un appareil conforme ou géré
• Connexions nécessitant une MFA
• Documentation de l’API des alertes de monitoring de l’intégrité de Microsoft Graph