Come analizzare gli avvisi di monitoraggio di Microsoft Entra Health (anteprima)

Il monitoraggio dell'integrità di Microsoft Entra consente di monitorare l'integrità del tenant di Microsoft Entra tramite un set di metriche di integrità e avvisi intelligenti. Le metriche di salute vengono immesse nel servizio di rilevamento delle anomalie, che utilizza l'apprendimento automatico per comprendere i modelli del tuo tenant. Quando il servizio di rilevamento anomalie identifica una modifica significativa in uno dei modelli a livello di tenant, attiva un avviso.

I segnali e gli avvisi forniti da Microsoft Entra Health forniscono il punto di partenza per analizzare i potenziali problemi nel tenant. Poiché è disponibile un'ampia gamma di scenari e ancora più punti dati da considerare, è importante comprendere come analizzare questi avvisi in modo efficace. Questo articolo fornisce indicazioni su come analizzare gli avvisi, in generale. Per indicazioni specifiche per gli scenari, vedere il contenuto correlato alla fine di questo articolo.

Importante

Il monitoraggio e gli avvisi dello scenario di Microsoft Entra Health sono attualmente disponibili in ANTEPRIMA. Queste informazioni si riferiscono a un prodotto in fase di pre-rilascio che potrebbe essere modificato notevolmente prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.

Prerequisiti

Esistono diversi ruoli, autorizzazioni e requisiti di licenza per visualizzare i segnali di monitoraggio della salute e configurare e ricevere avvisi. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust.

• Per visualizzare i segnali di monitoraggio dello scenario di integrità di Microsoft Entra, è necessario un tenant con una licenza Microsoft Entra P1 o P2.
• Un tenant con licenza Microsoft Entra P1 o P2e almeno 100 utenti attivi mensili è necessario per visualizzare gli avvisi e ricevere notifiche di avviso.
• Il ruolo Lettore Report è il ruolo con privilegi minimi necessari per visualizzare i segnali di monitoraggio dello scenario, gli avvisi e le configurazioni degli avvisi.
• L'amministratore del supporto tecnico è il ruolo con privilegi minimi necessari per aggiornare gli avvisi e aggiornare le configurazioni di notifica degli avvisi.
• L'autorizzazione HealthMonitoringAlert.Read.All è necessaria per visualizzare gli avvisi tramite l'API Microsoft Graph.
• L'autorizzazione HealthMonitoringAlert.ReadWrite.All è necessaria per visualizzare e modificare gli avvisi usando l'API Microsoft Graph.
• Per un elenco completo dei ruoli, vedere Ruolo con privilegi minimi per attività.

Nota

I nuovi inquilini che sono stati appena onboardati potrebbero non avere dati sufficienti per creare avvisi per circa 30 giorni.

Analizzare i segnali e gli avvisi

È possibile visualizzare i segnali di monitoraggio di Microsoft Entra Health dall'interfaccia di amministrazione di Microsoft Entra. È anche possibile visualizzare le proprietà dei segnali e l'anteprima pubblica degli avvisi di monitoraggio dello stato di salute usando API Microsoft Graph.

Quando si riceve un avviso, in genere è necessario analizzare i set di dati seguenti:

• Metriche: Il flusso di dati o segnale di integrità che ha causato l'allerta.
• Entità interessate: numero totale di entità interessate. Può includere utenti e applicazioni.
• Log di attività: I registri di accesso forniscono informazioni dettagliate sugli utenti interessati. I log di controllo forniscono informazioni dettagliate sulle modifiche alla configurazione dell'applicazione.
• risorse specifiche dello scenario: a seconda dello scenario, potrebbe essere necessario analizzare altre origini di informazioni da servizi diversi. Ad esempio, per gli scenari correlati al dispositivo, potrebbe essere necessario esaminare i criteri di conformità dei dispositivi di Intune.

Centro di amministrazione

I segnali e gli avvisi sono disponibili nell'area Microsoft Entra Health dell'interfaccia di amministrazione di Microsoft Entra. Sia che si stia analizzando un avviso o semplicemente monitorando l'integrità del tenant, è possibile visualizzare i segnali e gli avvisi dall'interfaccia di amministrazione di Microsoft Entra.

Visualizza i segnali

1. Accedi al centro di amministrazione Microsoft Entra come almeno un lettore di report.

2. Passare a Identità>Monitoraggio e salute>Salute. La pagina si apre alla pagina del raggiungimento dell'Accordo sul Livello di Servizio (SLA).

3. Selezionare la scheda Monitoraggio della Salute.

   

4. Selezionare uno scenario dall'elenco. La pagina si apre agli scenari con avvisi attivi, ma se si desidera visualizzare i segnali per uno scenario diverso, selezionare il pulsante Tutti gli scenari filtro.

5. Visualizza il segnale nella sezione Visualizza grafico dati. Potrebbe essere necessario espandere questa sezione se si sta visualizzando uno scenario con un avviso attivo.

   • L'intervallo di date può essere modificato per visualizzare le ultime 24 ore, sette giorni o il mese precedente.
   • Passare il puntatore del mouse sul grafico per visualizzare i punti dati per un determinato punto nel tempo.
   • Il valore nella parte inferiore del grafico è il conteggio totale per tale scenario per l'intervallo di tempo selezionato.

Analizzare gli avvisi

Per visualizzare questi dettagli dalla pagina iniziale monitoraggio della salute:

1. Selezionare l'avviso attivo da analizzare.

   

2. Nella sezione Entità interessate dello scenario selezionato selezionare Visualizza per il tipo di entità interessata da analizzare.

   • Le entità possibili includono utenti e applicazioni.
   • Viene fornito un collegamento a un articolo specifico dello scenario per altre informazioni su come analizzare il problema.

   

3. Dai dettagli visualizzati nel pannello visualizzato, selezionare un'entità da esplorare ulteriormente.

   • Vengono visualizzate le prime 10 entità interessate.
   • La selezione di un elemento dall'elenco consente di passare alla pagina del profilo dell'utente o dell'applicazione per ulteriori indagini.

4. Il segnale per l'avviso viene visualizzato nella sezione Segnali. Esaminare il segnale per comprendere il modello e identificare le anomalie.

   • L'intervallo di tempo mostra l'ora in cui si è verificata l'anomalia.

   

5. Dopo aver esaminato e potenzialmente risolto la causa radice del problema, è possibile ignorare l'avviso. Nella pagina degli avvisi attivi, selezionare la casella di controllo per quell'avviso, quindi selezionare il menu Contrassegna avviso come e scegliere Annullato.

   • L'azione equivalente che usa l'API Microsoft Graph consiste nell'aggiornare lo stato dell'avviso a resolved.

   

API Microsoft Graph

Con le API Microsoft Graph, è possibile visualizzare le metriche che costituiscono i segnali di integrità e gli avvisi ed esaminare il riepilogo dell'impatto per un avviso di integrità.

Per esempi di richieste e risposte, vedere Elenco oggetti di avviso per il monitoraggio della salute.

• La parte della risposta dopo impacts costituisce il riepilogo degli impatti per l'avviso.
• La parte supportingData include l'interrogazione completa usata per generare l'avviso.
• I risultati della query includono tutti gli elementi identificati dal servizio di rilevamento anomalie, ma potrebbero esserci risultati che non sono direttamente correlati all'avviso.

Visualizza i segnali

La risorsa serviceActivity ottiene le metriche che sono alla base dei segnali di monitoraggio di Microsoft Entra Health, visualizzati nel centro amministrativo di Microsoft Entra. Per ulteriori informazioni, vedere il tipo di risorsa serviceActivity .

1. Accedi a Microsoft Graph Explorer come almeno un Amministratore Helpdesk e fornisci il consenso alle autorizzazioni appropriate.
2. Selezionare GET come metodo HTTP dall'elenco a discesa e impostare la versione API su beta.
3. Eseguire la query seguente per recuperare le metriche di accesso con esito positivo dell'autenticazione a più fattori (MFA) durante un intervallo specifico.

Richiesta:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInFailure(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Risposta:

La risposta mostra il numero di accessi riusciti verificatisi durante l'intervallo di tempo specifico, aggregati in intervalli di dieci minuti.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Analizzare gli avvisi

Il tipo di risorsa alert fornisce informazioni dettagliate sugli avvisi di monitoraggio della salute, incluso il riepilogo dell'impatto dell'avviso. Per ulteriori informazioni, consultare il tipo di risorsa di avviso .

Eseguire la query seguente per ottenere tutti gli avvisi attivi per il tuo tenant.

Richiesta:

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=state eq microsoft.graph.healthmonitoring.alertState'active'&$select=id, alertType

Risposta:

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(id,alertType)",
  "value": [
    {
      "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
      "alertType": "mfaSignInFailure"
    },
    {
      "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
       "alertType": "managedDeviceSignInFailure"
    },
  ]
}    

Individuare e salvare il id dell'avviso da analizzare ed eseguire la query seguente, usando id come alertId. La query seguente recupera i dettagli dell'avviso, espandendo la proprietà resourceSampling per ottenere gli ID utente delle entità interessate.

Richiesta:

Per questo esempio viene usato il tipo di avviso mfaSignInFailure, ma il valore id è un valore segnaposto. Sostituirlo con il id dell'avviso da analizzare.

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{id}?$expand=enrichment/impacts/microsoft.graph.healthmonitoring.directoryobjectimpactsummary/resourceSampling&$select=alertType, createdDateTime, enrichment'

Risposta:

La risposta viene abbreviata per la leggibilità. La risposta include gli ID utente delle entità interessate, che possono essere usate in ulteriori richieste sull'attività di accesso dell'utente. La risposta include anche interrogazioni per i report correlati.

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(enrichment/impacts/microsoft.graph.healthMonitoring.directoryObjectImpactSummary/resourceSampling())/$entity",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "alertType": "mfaSignInFailure",
  "scenario": "mfa",
  "category": "authentication",
  "createdDateTime": "2025-01-10T23:59:41.1216288Z",
  "state": "resolved",
  "enrichment": {
      "state": "enriched",
      "supportingData": null,
      "impacts": [
          {
              "@odata.type": "#microsoft.graph.healthMonitoring.userImpactSummary",
              "resourceType": "User",
              "impactedCount": "4",
              "impactedCountLimitExceeded": false,
              "resourceSampling": [
                  {
                      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                  },
                  {
                      "id": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee"
                  },
                  {
                      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
                  },
                  {
                      "id": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd"
                  }
          ]    
          },
      ]
      "signals": {
          "mfaSignInFailure": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInFailure/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)",
          "mfaSignInSuccess": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInSuccess/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)"
      }
    }
  }    

Dopo aver ottenuto i dettagli per le entità interessate, è possibile iniziare a risolvere i problemi, ad esempio attività di accesso, log di controllo e accesso condizionale.

Aggiornare lo stato

Dopo aver esaminato e potenzialmente risolto la causa radice del problema, è possibile contrassegnare l'avviso come risolto. Esegui la seguente richiesta PATCH. L'azione equivalente nell'interfaccia di amministrazione di Microsoft Entra consiste nell'aggiornare lo stato dell'avviso in Ignorato.

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Content-Type: application/json
{
  "state": "resolved"
}

Contenuto correlato

• Accessi che richiedono un dispositivo conforme o gestito
• accessi che richiedono l'autenticazione a più fattori
• documentazione dell'API avvisi di monitoraggio della salute di Microsoft Graph