Como investigar alertas de monitoramento de integridade do Microsoft Entra (versão preliminar)

Monitoramento de Saúde do Microsoft Entra ajuda a monitorar a saúde do locatário Microsoft Entra por meio de um conjunto de métricas de saúde e alertas inteligentes. As métricas de saúde são alimentadas em nosso serviço de detecção de anomalias, que usa aprendizado de máquina para entender os padrões do inquilino. Quando o serviço de detecção de anomalias identifica uma alteração significativa em um dos padrões no nível do locatário, ele dispara um alerta.

Os sinais e alertas fornecidos pelo Microsoft Entra Health fornecem o ponto de partida para investigar possíveis problemas em seu locatário. Como há uma ampla gama de cenários e ainda mais pontos de dados a serem considerados, é importante entender como investigar esses alertas de maneira eficaz. Este artigo fornece diretrizes sobre como investigar alertas, em geral. Para obter diretrizes específicas do cenário, consulte o conteúdo relacionado no final deste artigo.

Importante

O monitoramento de cenários e os alertas de integridade do Microsoft Entra estão atualmente em versão preliminar. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.

Pré-requisitos

Há diferentes funções, permissões e requisitos de licença para visualizar sinais de monitoramento de saúde e configurar e receber alertas. É recomendável usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes Zero Trust.

• Um locatário com uma licença do Microsoft Entra P1 ou P2 é necessário para exibir os sinais de monitoramento do cenário do Microsoft Entra Health.
• É necessário um locatário com uma licença Microsoft Entra P1 ou P2 que não seja de avaliação gratuitae pelo menos 100 usuários ativos mensais para exibir alertas e receber notificações de alerta.
• A função Leitor de Relatórios é a que tem menos privilégios e é necessária para exibir sinais de monitoramento, alertas e configurações de alerta do cenário.
• A função Administrador da Assistência Técnica é a que tem menos privilégios e é necessária para atualizar alertas e atualizar as configurações de notificação de alerta.
• A permissão HealthMonitoringAlert.Read.All é necessária para visualizar os alertas usando Microsoft Graph API.
• A permissão HealthMonitoringAlert.ReadWrite.All é necessária para visualizar e modificar os alertas usando o Microsoft Graph API.
• Para ver a lista completa de funções, confira Função com privilégios mínimos por tarefa.

Observação

Os locatários recém-integrados talvez não tenham dados suficientes para gerar alertas por cerca de 30 dias.

Investigar os sinais e alertas

Você pode visualizar os sinais de monitoramento de integridade do Microsoft Entra na Central de administração do Microsoft Entra. Você também pode exibir as propriedades dos sinais e a visualização pública dos alertas de monitoramento de integridade usando APIs do Microsoft Graph.

Quando você recebe um alerta, normalmente precisa investigar os seguintes conjuntos de dados:

• Métricas: o fluxo de dados ou o sinal de integridade que causou o alerta.
• Entidades afetadas: número total de entidades afetadas. Pode incluir usuários e aplicativos.
• Logs de Atividades: Os logs de login fornecem detalhes sobre os usuários afetados. Os logs de auditoria fornecem insights sobre as alterações de configuração do aplicativo.
• Recursos específicos do cenário: dependendo do cenário, talvez seja necessário investigar outras fontes de informações de diferentes serviços. Por exemplo, para cenários relacionados ao dispositivo, talvez seja necessário examinar as políticas de conformidade do dispositivo do Intune.

Centro de Administração

Os sinais e alertas estão disponíveis na área de Integridade do Microsoft Entra do Centro de administração do Microsoft Entra. Se você estiver investigando um alerta ou apenas monitorando a saúde do seu locatário, poderá visualizar os sinais e alertas do centro de administração do Microsoft Entra.

Exibir os sinais

1. Entre no Centro de Administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

2. Navegue até Entra ID>Monitoramento e saúde>Saúde. A página é aberta na seção de Cumprimento do Acordo de Nível de Serviço (SLA).

3. Selecione a guia Monitoramento de Integridade .

   

4. Selecione um cenário na lista. A página é aberta para os cenários com alertas ativos, mas se você quiser exibir os sinais para um cenário diferente, selecione o botão Filtrar Todos os cenários .

5. Exiba o sinal na seção Exibir grafo de dados . Talvez seja necessário expandir esta seção se estiver exibindo um cenário com um alerta ativo.

   • O intervalo de datas pode ser alterado para exibir as últimas 24 horas, sete dias ou mês anterior.
   • Passe o mouse sobre o grafo para ver os pontos de dados para um determinado ponto no tempo.
   • O valor na parte inferior do grafo é a contagem total para esse cenário para o período de tempo selecionado.

Investigar os alertas

Para exibir esses detalhes na página inicial de monitoramento da saúde, primeiro selecione o alerta ativo que você deseja investigar.

No cenário selecionado, você tem várias opções para investigar:

1. Selecione Executar Diagnóstico na parte superior da página, que executa a ferramenta de diagnóstico de logon.

2. Na seção Entidades Afetadas do cenário selecionado, selecione Exibir para o tipo de entidade afetada que você deseja investigar.

   • As entidades possíveis incluem usuários e aplicativos.
   • Um link é fornecido a um artigo específico do cenário para obter mais informações sobre como investigar o problema.
   • As 10 entidades mais afetadas estão listadas.
   • A seleção de um item na lista navega até a página de perfil do usuário ou do aplicativo para uma investigação mais aprofundada.

3. O sinal do alerta é exibido na seção Sinais . Examine o sinal para entender o padrão e identificar anomalias.

   • O período mostra o tempo durante o qual a anomalia ocorreu.

   

4. Depois de investigar e potencialmente resolver a causa raiz do problema, você pode ignorar o alerta. Na página de alerta ativo, marque a caixa de seleção desse alerta, selecione o menu Marcar alerta como e selecione Descartado.

   • A ação equivalente usando o microsoft Graph API é atualizar o status do alerta para resolved.

   

Investigar alertas com o investigador de alertas de saúde

O investigador de alertas de integridade é uma funcionalidade do Copilot integrada aos alertas de integridade do Entra. Ele pode investigar um alerta de saúde em seu nome diretamente da página de alertas, realizando análises de correlação para identificar as causas raiz acionáveis em seu locatário. Depois de disparar uma investigação, Copilot postará um relatório de descobertas que contém uma correção recomendada e a lógica por trás da análise de correlação que usa os logs de atividades do Entra e os dados de configuração do locatário para tirar suas conclusões.

Observação

Para usar o investigador de alertas de saúde, seu locatário deve estar integrado ao Microsoft Security Copilot e garantir que o plugin Microsoft Entra esteja ativado no Security Copilot.

Observação

O investigador de alertas de saúde ainda não está acessível por meio de Copilot chat. A experiência de chat está chegando em breve.

Para usar o investigador de alertas de saúde:

1. Na página de alerta ativa, selecione o botão Investigar com Copilot para iniciar o investigador de alertas de integridade.

   

2. O pesquisador de alertas de integridade executa uma análise de correlação entre as métricas de integridade que levaram ao alerta e aos logs de atividade do locatário e aos dados de configuração. Quando a análise for concluída, o cartão Investigar alerta de saúde exibirá um resumo dos achados.

3. Clique no botão Exibir investigação do Copilot para mostrar um relatório detalhado com as descobertas e as próximas etapas sugeridas para resolver a causa raiz.

   

   

4. Clique nos títulos Causa Raiz e Detalhes Adicionais para obter mais informações.

Microsoft Graph API

Com as APIs do Microsoft Graph, você pode visualizar as métricas que compõem os sinais e alertas de saúde e revisar o resumo do impacto de um alerta de saúde.

Para obter solicitações e respostas de exemplo, consulte Objetos de alerta de lista de monitoramento de integridade.

• A parte da resposta após impacts constitui o resumo do impacto do alerta.
• A parte supportingData inclui a consulta completa usada para gerar o alerta.
• Os resultados da consulta incluem tudo o que é identificado pelo serviço de detecção de anomalias, mas pode haver resultados que não estão diretamente relacionados ao alerta.

Exibir os sinais

O recurso serviceActivity obtém as métricas que alimentam os sinais de monitoramento de integridade do Microsoft Entra, os quais são visualizados no centro de administração do Microsoft Entra. Para obter mais informações, consulte Tipo de recurso serviceActivity.

1. Entre no Microsoft Graph Explorer como pelo menos um administrador Helpdesk e consenta com as permissões apropriadas.
2. Selecione GET como o método HTTP na lista suspensa e defina a versão da API como beta.
3. Execute a consulta a seguir para recuperar as métricas de êxito de entrada da MFA (autenticação multifator) durante um intervalo específico.

Solicitação:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInFailure(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Resposta:

A resposta mostra quantas entradas bem-sucedidas ocorreram durante o período específico, agregadas em intervalos de dez minutos.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Investigar os alertas

O tipo de recurso alert fornece detalhes sobre os alertas de monitoramento de integridade, incluindo o resumo do impacto do alerta. Para obter mais informações, consulte o tipo de recurso de alerta.

Execute a consulta a seguir para recuperar todos os alertas ativos para seu locatário.

Solicitação:

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=state eq microsoft.graph.healthmonitoring.alertState'active'&$select=id, alertType

Resposta:

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(id,alertType)",
  "value": [
    {
      "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
      "alertType": "mfaSignInFailure"
    },
    {
      "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
       "alertType": "managedDeviceSignInFailure"
    },
  ]
}    

Localize e salve o id alerta que você deseja investigar e executar a consulta a seguir, usando id como .alertId A consulta a seguir recupera os detalhes do alerta, expandindo a resourceSampling propriedade para obter as IDs de usuário das entidades afetadas.

Solicitação:

Para este exemplo, estamos usando o tipo de alerta mfaSignInFailure, mas o valor id é um valor de espaço reservado. Substitua-o pelo id alerta que você deseja investigar.

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{id}?$expand=enrichment/impacts/microsoft.graph.healthmonitoring.directoryobjectimpactsummary/resourceSampling&$select=alertType, createdDateTime, enrichment'

Resposta:

A resposta é abreviada para legibilidade. A resposta inclui as IDs de usuário das entidades afetadas, que podem ser usadas em investigações adicionais sobre a atividade de entrada do usuário. A resposta também inclui consultas para os relatórios relacionados.

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(enrichment/impacts/microsoft.graph.healthMonitoring.directoryObjectImpactSummary/resourceSampling())/$entity",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "alertType": "mfaSignInFailure",
  "scenario": "mfa",
  "category": "authentication",
  "createdDateTime": "2025-01-10T23:59:41.1216288Z",
  "state": "resolved",
  "enrichment": {
      "state": "enriched",
      "supportingData": null,
      "impacts": [
          {
              "@odata.type": "#microsoft.graph.healthMonitoring.userImpactSummary",
              "resourceType": "User",
              "impactedCount": "4",
              "impactedCountLimitExceeded": false,
              "resourceSampling": [
                  {
                      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                  },
                  {
                      "id": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee"
                  },
                  {
                      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
                  },
                  {
                      "id": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd"
                  }
          ]    
          },
      ]
      "signals": {
          "mfaSignInFailure": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInFailure/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)",
          "mfaSignInSuccess": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInSuccess/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)"
      }
    }
  }    

Depois de ter os detalhes das entidades afetadas, você poderá começar a solucionar problemas como atividade de entrada, logs de auditoria e Acesso Condicional.

Atualizar o status

Depois de investigar e potencialmente resolver a causa raiz do problema, você pode marcar o alerta como resolvido. Execute a solicitação patch a seguir. A ação equivalente usando o Microsoft Entra admin center é atualizar o status do alerta para Dismissed.

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Content-Type: application/json
{
  "state": "resolved"
}

Conteúdo relacionado

• Entradas que exigem um dispositivo gerenciado ou em conformidade
• Entradas que exigem MFA
• documentação da API de alertas de monitoramento de saúde do Microsoft Graph