如何調查Microsoft Entra Health 監視警示 (預覽)
本文內容
Microsoft Entra Health 監視可透過一組健康情況計量和智慧型警示,協助您監視Microsoft Entra 租使用者的健康情況。 健康指標會被輸入到我們的異常偵測服務中,該服務利用機器學習來理解您用戶的模式。 當異常偵測服務識別其中一個租用戶層級模式的重大變更時,就會觸發警示。
Microsoft Entra Health 所提供的訊號和警示會提供您調查租用戶中潛在問題的起點。 因為有廣泛的案例,甚至更多的數據點需要考慮,所以請務必瞭解如何有效地調查這些警示。 本文提供調查警示的指導方針,但不針對特定警示。
重要
Microsoft Entra Health 案例監視和警示目前處於預覽狀態。
這項資訊與發行前版本產品有關,在發行前可能會大幅修改。 Microsoft針對此處提供的資訊,不提供任何明示或默示擔保。
先決條件
有不同的角色、許可權和授權需求,可檢視健康情況監視訊號並設定和接收警示。 我們建議使用具有最低許可權存取權的角色,以配合 零信任指引 。
需要具有 Microsoft Entra P1 或 P2 授權 的租戶,才能 查看 Microsoft Entra 健康狀態監控訊號。
租戶需要擁有 Microsoft Entra P1 或 P2 授權 檢視警示 並 收到警示通知 。
報表讀者 角色是所需的最低許可權角色,用於 檢視情境監控信號、警報和警報設定 。
服務台系統管理員 是 更新警示 和 更新警示通知組態 所需的最低權限角色。
需要 許可權,才能使用 Microsoft Graph API來 檢視警示。
需要 許可權,才能使用 Microsoft Graph API來 檢視和修改警示。
如需角色的完整清單,請參閱依工作最低許可權角色。
已知限制
新入駐的租戶可能在 30 天內沒有足夠的數據來產生警示。
目前,警示僅適用於 Microsoft Graph API。
存取 Microsoft Entra Health 指標和訊號
您可以從 Microsoft Entra 系統管理中心檢視Microsoft Entra Health 監視訊號。 您也可以使用 Microsoft Graph API 來檢視訊號的屬性和健康情況監視警示的公開預覽。
登入 Microsoft Entra 系統管理中心, 至少 報表讀取者 。
瀏覽至 [身分識別 >監控與健康 >健康 ]。 頁面會開啟到服務等級協定(SLA)達成率頁面。
選取 [情境監控 ] 標籤。
針對您想要調查的案例,選取 [檢視詳細數據 。
默認檢視是過去七天,但您可以將日期範圍調整為24小時、七天或一個月。
數據會每隔 15 分鐘更新一次。
建議您定期檢閱這些訊號,讓您可以辨識租用戶的趨勢和模式。
透過 Microsoft Graph API,您可以檢視組成健康情況訊號和警示的計量,並檢閱健康情況警示的影響摘要。
serviceActivity 資源會取得饋送至 Microsoft Entra Health 監視訊號的計量,這些訊號會在 Microsoft Entra 系統管理中心可視化。 如需詳細資訊,請參閱 serviceActivity 資源類型 。
執行這些查詢提供在特定時間範圍內發生的服務活動次數。 例如,若要查看成功的多重要素驗證 (MFA) 登入數目,您將執行下列查詢:
GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)
回應會顯示在特定時間範圍內發生的成功登入次數,以10分鐘間隔匯總。
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
"value": [
{
"intervalStartDateTime": "2023-01-10T00:00:00Z",
"value": 4
},
{
"intervalStartDateTime": "2023-01-10T00:10:00Z",
"value": 5
},
{
"intervalStartDateTime": "2023-01-10T00:20:00Z",
"value": 4
}
]
}
調查警示和訊號
當您設定電子郵件通知時,您和小組可以更有效地監視這些案例的健康情況。 當您收到警示時,或看到您懷疑可能需要調查的模式變更時,通常需要調查下列數據集:
警示影響 :impacts 之後回應的部分會量化範圍,並摘要受影響的資源。 這些詳細數據包括 impactCount,因此您可以判斷問題有多普遍。
警示訊號 :造成警示的數據流或健康情況訊號。 回應中會提供查詢以進一步調查。
登入記錄 :在回應中提供了一個查詢,用於進一步調查健康訊號產生的登入記錄。 登入記錄會提供詳細的事件元數據,可用來識別問題的根本原因。
案例特定資源 :視案例而定,您可能需要調查 Intune 合規性原則或條件式存取原則。 在許多情況下,回應中會提供相關文件的連結。
檢視影響和訊號
在 Microsoft Graph 中,新增下列查詢以擷取租使用者的所有警示。
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
找出您想要調查的警示的 id 並儲存。
使用 id 作為 alertId來新增下列查詢。
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
如需範例要求和回應,請參閱 健全狀況監視清單警示物件 。
impacts 後的回應部分構成了警報的影響摘要。
supportingData 部分包含用來產生警示的完整查詢。
查詢的結果包含異常偵測服務所識別的所有專案,但可能有與警示不直接相關的結果。
檢視登入記錄
以至少 報表讀取者 身分登入 Microsoft Entra 管理中心 。
瀏覽至 監視 & 健康情況 >登入記錄
調整時間範圍以符合警示時間範圍。
新增條件式存取的篩選條件。
選取一則日誌項目以檢視登入日誌的詳細資訊,然後選取 [條件式存取] 標籤以查看所套用的原則。
檢視場景特定的資源
每個警示可能有不同的數據集來調查。 如需每個警示類型的詳細資訊,請參閱下列文章:
分析可能的根本原因
收集與案例相關的所有數據之後,您必須考慮可能的根本原因和研究可能的解決方案。 想想警示的嚴肅性。 只有少數使用者受到影響,還是這是一個普遍的問題? 最近的政策變更是否會產生意外的後果?
我們建議您定期查看警報和健康監控數據,以找出趨勢和潛在問題,以防它們成為普遍問題。
相關內容
