Como investigar alertas de monitoramento do Microsoft Entra Health (versão prévia)

O monitoramento do Microsoft Entra Health ajuda você a monitorar a integridade do seu locatário do Microsoft Entra por meio de um conjunto de métricas de integridade e alertas inteligentes. As métricas de saúde são alimentadas em nosso serviço de detecção de anomalias, que usa aprendizado de máquina para entender os padrões do inquilino. Quando o serviço de detecção de anomalias identifica uma alteração significativa em um dos padrões no nível do locatário, ele dispara um alerta.

Os sinais e os alertas fornecidos pelo Microsoft Entra Health oferecem o ponto de partida para investigar possíveis problemas no seu locatário. Como há uma ampla gama de cenários e ainda mais pontos de dados a serem considerados, é importante entender como investigar esses alertas de maneira eficaz. Este artigo fornece diretrizes sobre como investigar alertas, em geral. Para obter diretrizes específicas do cenário, consulte o conteúdo relacionado no final deste artigo.

Importante

Atualmente, os alertas e o monitoramento do cenário do Microsoft Entra Health estão em VERSÃO PRÉVIA. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.

Pré-requisitos

Há diferentes funções, permissões e requisitos de licença para visualizar sinais de monitoramento de saúde e configurar e receber alertas. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero.

• Um locatário com uma licença P1 ou P2 do Microsoft Entra é necessário para exibir os sinais de monitoramento do cenário de integridade do Microsoft Entra.
• Um locatário deve ter uma licença do Microsoft Entra P1 ou P2 sem avaliação e pelo menos 100 usuários ativos mensais para exibir alertas e receber notificações de alerta.
• A função Leitor de relatórios é a que tem menos privilégios e é necessária para exibir sinais de monitoramento, alertas e configurações de alerta do cenário.
• A função Administrador da assistência técnica é a que tem menos privilégios e é necessária para atualizar alertas e atualizar as configurações de notificação de alerta.
• A permissão HealthMonitoringAlert.Read.All é necessária para exibir os alertas usando a API do Microsoft Graph.
• A permissão HealthMonitoringAlert.ReadWrite.All é necessária para exibir e modificar os alertas usando a API do Microsoft Graph.
• Para ver a lista completa de funções, confira Função com privilégios mínimos por tarefa.

Observação

Os locatários recém-integrados talvez não tenham dados suficientes para gerar alertas por cerca de 30 dias.

Investigar os sinais e alertas

Você pode exibir os sinais de monitoramento do Microsoft Entra Health no centro de administração do Microsoft Entra. Você também pode exibir as propriedades dos sinais e a visualização pública dos alertas de monitoramento de integridade usando APIs do Microsoft Graph.

Quando você recebe um alerta, normalmente precisa investigar os seguintes conjuntos de dados:

• Métricas: o fluxo de dados ou o sinal de integridade que causou o alerta.
• Entidades afetadas: número total de entidades afetadas. Pode incluir usuários e aplicativos.
• Logs de Atividades: Os logs de login fornecem detalhes sobre os usuários afetados. Os logs de auditoria fornecem insights sobre as alterações de configuração do aplicativo.
• Recursos específicos do cenário: dependendo do cenário, talvez seja necessário investigar outras fontes de informações de diferentes serviços. Por exemplo, para cenários relacionados ao dispositivo, talvez seja necessário examinar as políticas de conformidade do dispositivo do Intune.

Centro de Administração

Os sinais e alertas estão disponíveis na área de Saúde do Microsoft Entra no Centro de Administração do Microsoft Entra. Se você estiver investigando um alerta ou apenas monitorando a integridade do seu locatário, poderá exibir os sinais e alertas do Centro de administração do Microsoft Entra.

Exibir os sinais

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.

2. Navegue até Entra ID>Monitoramento e Saúde>Saúde. A página é aberta na seção de Cumprimento do Acordo de Nível de Serviço (SLA).

3. Selecione a guia Monitoramento de Integridade .

   

4. Selecione um cenário na lista. A página é aberta para os cenários com alertas ativos, mas se você quiser exibir os sinais para um cenário diferente, selecione o botão Filtrar Todos os cenários .

5. Exiba o sinal na seção Exibir grafo de dados . Talvez seja necessário expandir esta seção se estiver exibindo um cenário com um alerta ativo.

   • O intervalo de datas pode ser alterado para exibir as últimas 24 horas, sete dias ou mês anterior.
   • Passe o mouse sobre o grafo para ver os pontos de dados para um determinado ponto no tempo.
   • O valor na parte inferior do grafo é a contagem total para esse cenário para o período de tempo selecionado.

Investigar os alertas

Para exibir esses detalhes na página inicial de monitoramento da saúde, primeiro selecione o alerta ativo que você deseja investigar.

No cenário selecionado, você tem várias opções para investigar:

1. Selecione Executar Diagnóstico na parte superior da página, que executa a ferramenta de diagnóstico de logon.

2. Na seção Entidades Afetadas do cenário selecionado, selecione Exibir para o tipo de entidade afetada que você deseja investigar.

   • As entidades possíveis incluem usuários e aplicativos.
   • Um link é fornecido a um artigo específico do cenário para obter mais informações sobre como investigar o problema.
   • As 10 entidades mais afetadas estão listadas.
   • A seleção de um item na lista navega até a página de perfil do usuário ou do aplicativo para uma investigação mais aprofundada.

3. O sinal do alerta é exibido na seção Sinais . Examine o sinal para entender o padrão e identificar anomalias.

   • O período mostra o tempo durante o qual a anomalia ocorreu.

   

4. Depois de investigar e potencialmente resolver a causa raiz do problema, você pode ignorar o alerta. Na página de alerta ativo, marque a caixa de seleção desse alerta, selecione o menu Marcar alerta como e selecione Descartado.

   • A ação equivalente usando a API do Microsoft Graph é atualizar o status do alerta para resolved.

   

API do Microsoft Graph

Com as APIs do Microsoft Graph, você pode ver as métricas que compõem os sinais e alertas de integridade e analisar o resumo do impacto de um alerta de integridade.

Para obter solicitações e respostas de exemplo, consulte Objetos de alerta de lista de monitoramento de integridade.

• A parte da resposta após impacts constitui o resumo do impacto do alerta.
• A parte supportingData inclui a consulta completa usada para gerar o alerta.
• Os resultados da consulta incluem tudo o que é identificado pelo serviço de detecção de anomalias, mas pode haver resultados que não estão diretamente relacionados ao alerta.

Exibir os sinais

O recurso serviceActivity obtém as métricas que alimentam os sinais de monitoramento do Microsoft Entra Health, que são visualizados no centro de administração do Microsoft Entra. Para obter mais informações, confira Tipo de recurso serviceActivity.

1. Entre no Microsoft Graph Explorer como pelo menos um Administrador de Assistência Técnica e consenta com as permissões apropriadas.
2. Selecione GET como o método HTTP na lista suspensa e defina a versão da API como beta.
3. Execute a consulta a seguir para recuperar as métricas de êxito de entrada da MFA (autenticação multifator) durante um intervalo específico.

Solicitação:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInFailure(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Resposta:

A resposta mostra quantas entradas bem-sucedidas ocorreram durante o período específico, agregadas em intervalos de dez minutos.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Investigar os alertas

O tipo de recurso alert fornece detalhes sobre os alertas de monitoramento de integridade, incluindo o resumo do impacto do alerta. Para obter mais informações, consulte o tipo de recurso de alerta.

Execute a consulta a seguir para recuperar todos os alertas ativos para seu locatário.

Solicitação:

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=state eq microsoft.graph.healthmonitoring.alertState'active'&$select=id, alertType

Resposta:

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(id,alertType)",
  "value": [
    {
      "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
      "alertType": "mfaSignInFailure"
    },
    {
      "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
       "alertType": "managedDeviceSignInFailure"
    },
  ]
}    

Localize e salve o id alerta que você deseja investigar e executar a consulta a seguir, usando id como .alertId A consulta a seguir recupera os detalhes do alerta, expandindo a resourceSampling propriedade para obter as IDs de usuário das entidades afetadas.

Solicitação:

Para este exemplo, estamos usando o tipo de alerta mfaSignInFailure, mas o valor id é um valor de espaço reservado. Substitua-o pelo id alerta que você deseja investigar.

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{id}?$expand=enrichment/impacts/microsoft.graph.healthmonitoring.directoryobjectimpactsummary/resourceSampling&$select=alertType, createdDateTime, enrichment'

Resposta:

A resposta é abreviada para legibilidade. A resposta inclui as IDs de usuário das entidades afetadas, que podem ser usadas em investigações adicionais sobre a atividade de entrada do usuário. A resposta também inclui consultas para os relatórios relacionados.

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(enrichment/impacts/microsoft.graph.healthMonitoring.directoryObjectImpactSummary/resourceSampling())/$entity",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "alertType": "mfaSignInFailure",
  "scenario": "mfa",
  "category": "authentication",
  "createdDateTime": "2025-01-10T23:59:41.1216288Z",
  "state": "resolved",
  "enrichment": {
      "state": "enriched",
      "supportingData": null,
      "impacts": [
          {
              "@odata.type": "#microsoft.graph.healthMonitoring.userImpactSummary",
              "resourceType": "User",
              "impactedCount": "4",
              "impactedCountLimitExceeded": false,
              "resourceSampling": [
                  {
                      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                  },
                  {
                      "id": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee"
                  },
                  {
                      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
                  },
                  {
                      "id": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd"
                  }
          ]    
          },
      ]
      "signals": {
          "mfaSignInFailure": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInFailure/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)",
          "mfaSignInSuccess": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInSuccess/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)"
      }
    }
  }    

Depois de ter os detalhes das entidades afetadas, você poderá começar a solucionar problemas como atividade de entrada, logs de auditoria e Acesso Condicional.

Atualizar o status

Depois de investigar e potencialmente resolver a causa raiz do problema, você pode marcar o alerta como resolvido. Execute a solicitação patch a seguir. A ação equivalente usando o Centro de administração do Microsoft Entra é atualizar o status do alerta para Descartado.

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Content-Type: application/json
{
  "state": "resolved"
}

Conteúdo relacionado

• Entradas que exigem um dispositivo gerenciado ou em conformidade
• Entradas que exigem MFA
• Documentação da API de alertas de monitoramento de integridade do Microsoft Graph