Como investigar alertas de monitoramento do Microsoft Entra Health (versão prévia)

O monitoramento do Microsoft Entra Health ajuda você a monitorar a integridade do seu locatário do Microsoft Entra por meio de um conjunto de métricas de integridade e alertas inteligentes. As métricas de saúde são alimentadas em nosso serviço de detecção de anomalias, que usa aprendizado de máquina para entender os padrões do inquilino. Quando o serviço de detecção de anomalias identifica uma alteração significativa em um dos padrões no nível do locatário, ele dispara um alerta.

Os sinais e os alertas fornecidos pelo Microsoft Entra Health oferecem o ponto de partida para investigar possíveis problemas no seu locatário. Como há uma ampla gama de cenários e ainda mais pontos de dados a serem considerados, é importante entender como investigar esses alertas de maneira eficaz. Este artigo traz diretrizes sobre como investigar um alerta, mas não é específico para nenhum alerta.

Importante

Atualmente, os alertas e o monitoramento do cenário do Microsoft Entra Health estão em VERSÃO PRÉVIA. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.

Pré-requisitos

Há diferentes funções, permissões e requisitos de licença para visualizar sinais de monitoramento de saúde e configurar e receber alertas. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero.

• Um locatário com uma licença P1 ou P2 do Microsoft Entra é necessário para exibir os sinais de monitoramento do cenário de integridade do Microsoft Entra.
• Um locatário com uma licença P1 ou P2 do Microsoft Entra e, pelo menos, 100 usuários ativos mensais é necessário para exibir alertas e receber notificações de alerta.
• A função Leitor de relatórios é a que tem menos privilégios e é necessária para exibir sinais de monitoramento, alertas e configurações de alerta do cenário.
• A função Administrador da assistência técnica é a que tem menos privilégios e é necessária para atualizar alertas e atualizar as configurações de notificação de alerta.
• A permissão HealthMonitoringAlert.Read.All é necessária para exibir os alertas usando a API do Microsoft Graph.
• A permissão HealthMonitoringAlert.ReadWrite.All é necessária para exibir e modificar os alertas usando a API do Microsoft Graph.
• Para ver a lista completa de funções, confira Função com privilégios mínimos por tarefa.

Limitações conhecidas

• Os locatários recém-integrados talvez não tenham dados suficientes para gerar alertas por cerca de 30 dias.
• Atualmente, os alertas só estão disponíveis na API do Microsoft Graph.

Acessar métricas e sinais do Microsoft Entra Health

Você pode exibir os sinais de monitoramento do Microsoft Entra Health no centro de administração do Microsoft Entra. Você também pode exibir as propriedades dos sinais e a visualização pública dos alertas de monitoramento de integridade usando APIs do Microsoft Graph.

Centro de Administração

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.

2. Navegue até Identidade>Monitoramento e integridade>Integridade. A página é aberta na seção de Cumprimento do Acordo de Nível de Serviço (SLA).

3. Selecione a guia Monitoramento de Cenário.

   

4. Selecione Exibir detalhes do cenário que você deseja investigar.

   • A exibição padrão é os últimos sete dias, mas você pode ajustar o intervalo de datas para 24 horas, sete dias ou um mês.
   • Os dados são atualizados a cada 15 minutos.
   • Recomendamos revisar esses sinais frequentemente para que você possa reconhecer as tendências e os padrões do locatário.

   

API do Microsoft Graph

Com as APIs do Microsoft Graph, você pode ver as métricas que compõem os sinais e alertas de integridade e analisar o resumo do impacto de um alerta de integridade. O recurso serviceActivity obtém as métricas que alimentam os sinais de monitoramento do Microsoft Entra Health, que são visualizados no centro de administração do Microsoft Entra. Para obter mais informações, confira Tipo de recurso serviceActivity.

A execução dessas consultas fornece o número de vezes que a atividade de serviço ocorreu durante um período específico. Por exemplo, para ver o número de entradas de MFA (autenticação multifator) bem-sucedidas, execute a seguinte consulta:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

A resposta mostra quantas entradas bem-sucedidas ocorreram durante o período específico, agregadas em intervalos de dez minutos.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Investigue o alerta e os sinais

Você e a sua equipe podem monitorar com mais eficiência a integridade desses cenários ao configurar notificações por email. Quando você recebe um alerta ou se observa uma alteração em um padrão que suspeita que possa precisar de uma investigação, normalmente é necessário investigar os seguintes conjuntos de dados:

• Impacto do alerta: A parte da resposta após impacts quantifica o escopo e resume os recursos afetados. Esses detalhes incluem a impactCount para que você possa determinar a proporção do problema.
• Sinais de alerta: o fluxo de dados ou o sinal de integridade que causou o alerta. Uma consulta é fornecida na resposta para uma investigação mais aprofundada.
• Logs de entrada: uma consulta é fornecida na resposta para uma investigação mais aprofundada sobre os logs de entrada em que o sinal de integridade foi gerado. Os logs de entrada fornecem metadados de evento detalhados que podem ser usados para identificar a causa raiz de um problema.
• Recursos específicos do cenário: dependendo do cenário, talvez seja necessário investigar políticas de conformidade do Intune ou políticas de Acesso Condicional. Em muitos casos, um link para a documentação relacionada é fornecido na resposta.

Exibir os impactos e sinais

1. No Microsoft Graph, adicione consulta a seguir para recuperar todos os alertas do seu locatário.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. Localize e salve o id do alerta que você deseja investigar.

3. Adicione a consulta a seguir usando a id como a alertId.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

Para obter solicitações e respostas de exemplo, consulte Objetos de alerta de lista de monitoramento de integridade.

• A parte da resposta após impacts constitui o resumo do impacto do alerta.
• A parte supportingData inclui a consulta completa usada para gerar o alerta.
• Os resultados da consulta incluem tudo o que é identificado pelo serviço de detecção de anomalias, mas pode haver resultados que não estão diretamente relacionados ao alerta.

Visualizar os registros de acesso

1. Entre no centro de administração do Microsoft Entra como, pelo menos, Leitor de relatórios.
   • Se você precisar modificar as políticas de Acesso Condicional, precisará da função Administrador de acesso condicional.
2. Navegue até Monitoramento e integridade>Logs de entrada.
   • Ajuste o intervalo de tempo para que ele corresponda ao período do alerta.
   • Adicione um filtro para Acesso Condicional.
   • Selecione uma entrada de log para exibir os detalhes dos logs de entrada e selecione a guia Acesso Condicional para ver as políticas que foram aplicadas.

Exibir os recursos específicos do cenário

Cada alerta pode ter um conjunto de dados diferente para investigar. Para obter detalhes sobre cada tipo de alerta, confira os seguintes artigos:

• Entradas que exigem um dispositivo gerenciado ou em conformidade
• Entradas que exigem autenticação multifator (MFA)

Analisar as possíveis causas raiz

Depois de coletar todos os dados relacionados ao cenário, você precisa considerar possíveis causas raiz e pesquisar possíveis soluções. Considere a gravidade do alerta. Apenas alguns usuários são afetados ou é um problema generalizado? Uma mudança de política recente teve consequências não intencionais?

Recomendamos examinar regularmente os alertas e os dados de monitoramento de saúde para identificar tendências e possíveis problemas antes que se tornem problemas generalizados.

Conteúdo relacionado

• Entradas que exigem um dispositivo gerenciado ou em conformidade
• Entradas que exigem MFA
• Documentação da API de alertas de monitoramento de integridade do Microsoft Graph