Microsoft Entra Sağlık izleme uyarılarını araştırma (Önizleme)

Microsoft Entra Sistem Durumu izleme, bir dizi sistem durumu ölçümü ve akıllı uyarı aracılığıyla Microsoft Entra kiracınızın durumunu izlemenize yardımcı olur. Sağlık ölçümleri, kiracınıza ait kalıpları anlamak için makine öğrenimini kullanan anomali algılama hizmetimize aktarılır. Anomali algılama hizmeti kiracı düzeyindeki desenlerden birinde önemli bir değişiklik tanımladığında bir uyarı tetikler.

Microsoft Entra Health tarafından sağlanan sinyaller ve uyarılar, kiracınızdaki olası sorunları araştırmak için size başlangıç noktası sağlar. Çok çeşitli senaryolar ve dikkate alınması gereken daha fazla veri noktası olduğundan, bu uyarıları etkili bir şekilde araştırmayı anlamak önemlidir. Bu makalede, uyarıların genel olarak nasıl araştırılması konusunda rehberlik sağlanır. Senaryoya özgü yönergeler için bu makalenin sonundaki ilgili içeriğe bakın.

Önemli

Microsoft Entra Sağlık senaryosu izleme ve uyarıları şu anda Önizleme aşamasındadır. Bu bilgiler, yayından önce önemli ölçüde değiştirilebilen yayın öncesi bir ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Önkoşullar

Sistem durumu izleme sinyallerini görüntülemek ve uyarıları yapılandırmak ve almak için farklı roller, izinler ve lisans gereksinimleri vardır. Sıfır Güven kılavuzu ile uyumlu hale getirmek için en az ayrıcalık erişimine sahip bir rol kullanmanızı öneririz.

• Microsoft Entra P1 veya P2 lisansına sahip bir kiracı, Microsoft Entra sağlık durumu senaryosu izleme sinyallerini görüntülemek için gereklidir.
• Deneme sürümü olmayan bir Microsoft Entra P1 veya P2 lisansıve en az 100 aylık etkin kullanıcısı olan bir kiracının uyarıları görüntülemesi ve uyarı bildirimleri alması gerekir.
• Rapor Okuyucusu rolü, senaryo izleme sinyallerini, uyarıları ve uyarı yapılandırmalarını görüntülemekiçin gereken en az ayrıcalıklı roldür.
• Yardım Masası Yöneticisi, uyarıları ve uyarı bildirim yapılandırmalarını güncellemek için gereken en düşük ayrıcalık düzeyine sahip roldür.
• Microsoft Graph API'yi kullanarak uyarıları görüntülemek için HealthMonitoringAlert.Read.All izni gerekir.
• Microsoft Graph API kullanarak uyarıları görüntülemek ve değiştirmek için izni gereklidir.
• Rollerin tam listesi için bkz.göreve göre en az ayrıcalıklı rol .

Uyarı

Yeni eklenen kiracılar yaklaşık 30 gün boyunca uyarı oluşturmak için yeterli veriye sahip olmayabilir.

Sinyalleri ve uyarıları araştır.

Microsoft Entra yönetim merkezinden Microsoft Entra Sağlık izleme sinyallerini görüntüleyebilirsiniz. ayrıca Microsoft Graph API kullanarak sinyallerin özelliklerini ve sistem durumu izleme uyarılarının genel önizlemesini görüntüleyebilirsiniz.

Bir uyarı aldığınızda genellikle aşağıdaki veri kümelerini araştırmanız gerekir:

• Ölçümler: Uyarıya neden olan veri akışı veya sistem durumu sinyali.
• Etkilenen varlıklar: Etkilenen varlıkların toplam sayısı. Kullanıcıları ve uygulamaları içerebilir.
• Etkinlik günlükleri: Oturum açma günlükleri, etkilenen kullanıcılarla ilgili ayrıntıları sağlar. Denetim günlükleri, uygulama yapılandırma değişiklikleriyle ilgili içgörüler sağlar.
• Senaryoya özgü kaynaklar: Senaryoya bağlı olarak, farklı hizmetlerden alınan diğer bilgi kaynaklarını araştırmanız gerekebilir. Örneğin, cihazla ilgili senaryolar için Intune cihaz uyumluluk ilkelerini gözden geçirmeniz gerekebilir.

yönetim merkezi

Sinyaller ve uyarılar, Microsoft Entra yönetim merkezindeki Microsoft Entra Sağlık alanında bulunur. Bir uyarıyı araştırıyor veya yalnızca kiracınızın durumunu izliyor olun, sinyalleri ve uyarıları Microsoft Entra yönetim merkezinde görüntüleyebilirsiniz.

Sinyalleri görüntüleme

1. Microsoft Entra yöneticisi merkezi'nde, en azından bir Raporlar Okuyucusu olarak oturum açın.

2. Entra IDİzleme ve sağlıkSağlık adresine gidin. Sayfa, Hizmet Düzeyi Sözleşmesi (SLA) Elde Etme sayfasında açılır.

3. Sistem Durumu İzleme sekmesini seçin.

   

4. Listeden bir senaryo seçin. Sayfa etkin uyarıları olan senaryolara açılır, ancak farklı bir senaryonun sinyallerini görüntülemek istiyorsanız Tüm senaryolar filtre düğmesini seçin.

5. Veri grafiğini görüntüle bölümünde sinyali görüntüleyin. Etkin uyarı içeren bir senaryoyu görüntülüyorsanız bu bölümü genişletmeniz gerekebilir.

   • Tarih aralığı son 24 saati, yedi günü veya önceki ayı görüntülemek için değiştirilebilir.
   • Belirli bir noktaya ait veri noktalarını görmek için farenizi grafiğin üzerine getirin.
   • Grafiğin en altındaki değer, seçilen zaman çerçevesi için söz konusu senaryonun toplam sayısıdır.

Uyarıları araştır.

Bu ayrıntıları Sistem Durumu izleme giriş sayfasından görüntülemek için önce araştırmak istediğiniz etkin uyarıyı seçin.

Seçili senaryoda araştırmanız gereken birkaç seçenek vardır:

1. Oturum açma günlüğü tanılama aracını çalıştıran sayfanın üst kısmında Tanılamayı Çalıştır'ı seçin.

2. Seçili senaryonun Etkilenen varlıklar bölümünde, araştırmak istediğiniz etkilenen varlığın türü için Görünüm'ü seçin.

   • Olası varlıklar kullanıcıları ve uygulamaları içerir.
   • Sorunun nasıl araştırılması hakkında daha fazla bilgi için senaryoya özgü bir makaleye bağlantı sağlanır.
   • En çok etkilenen 10 varlık listelenir.
   • Listeden bir öğe seçildiğinde, daha fazla araştırma için kullanıcı veya uygulamanın profil sayfasına gidersiniz.

3. Uyarının sinyali Sinyaller bölümünün altında görünür. Deseni anlamak ve anomalileri tanımlamak için sinyali gözden geçirin.

   • Zaman çerçevesi anomalinin oluştuğu zamanı gösterir.

   

4. Sorunun kök nedenini araştırdıktan ve potansiyel olarak çözdükten sonra uyarıyı kapatabilirsiniz. Etkin uyarı sayfasından bu uyarının onay kutusunu seçin, ardından Uyarıyı olarak işaretle menüsünü ve Kapatıldı'yı seçin.

   • Microsoft Graph API kullanan eşdeğer eylem, uyarı durumunu resolved olarak güncelleştirmektir.

   

Sağlık uyarısı araştırmacısı ile uyarıları inceleyin

Sistem durumu uyarısı araştırmacısı, Entra sistem durumu uyarılarına eklenmiş Copilot bir beceridir. Doğrudan uyarı sayfasından sizin yerinize bir sağlık uyarısını araştırabilir ve kullanıcı alanınızdaki eyleme dönüştürülebilir kök nedenleri belirlemek için korelasyon analizi gerçekleştirebilir. Bir araştırmayı tetikledikten sonra, Copilot önerilen bir düzeltme içeren bulguların raporunu ve sonuçları elde etmek için Entra etkinlik günlüklerini ve kiracı yapılandırma verilerini kullanan bağıntı analizinin arkasındaki mantığı yayınlar.

Uyarı

Sağlık uyarısı araştırmacısını kullanmak için kiracınızın Microsoft Security Copilot'ta başlatılması ve Microsoft Entra eklentisinin Security Copilot'ta etkinleştirildiğinden emin olunması gerekir.

Uyarı

Sağlık uyarısı araştırmacısı henüz Copilot sohbet üzerinden erişilemiyor. Sohbet deneyimi yakında sunulacaktır.

Sağlık uyarı inceleyicisini kullanmak için:

1. Sistem sağlık uyarısı araştırmacısını başlatmak için aktif uyarı sayfasından Copilot ile Soruştur düğmesini seçin.

   

2. Sistem durumu uyarısı araştırmacısı, uyarıya yol açan sistem durumu ölçümleri ile kiracının etkinlik günlükleri ve yapılandırma verileri arasında bir bağıntı analizi gerçekleştirir. Analiz tamamlandığında Sağlık uyarısını araştır kartı, bulguların özetini görüntüler.

3. Kök nedenin çözümü için önerilen sonraki adımları içeren bulguların ayrıntılı bir raporunu görüntülemek üzere Copilot araştırmasını göster düğmesine tıklayın.

   

   

4. Daha fazla bilgi edinmek için Kök Neden ve Ek Ayrıntılar başlıklarına tıklayın.

Microsoft Graph API

Microsoft Graph API'leri ile sistem durumu sinyallerini ve uyarılarını oluşturan ölçümleri görüntüleyebilir ve sistem durumu uyarısının etki özetini gözden geçirebilirsiniz.

Örnek istekler ve yanıtlar için bkz. Sistem Durumu İzleme Listesi uyarı nesneleri.

• yanıtın impacts sonra gelen kısmı uyarının etki özetini oluşturur.
• supportingData bölümü, uyarıyı oluşturmak için kullanılan tam sorguyu içerir.
• Sorgunun sonuçları anomali algılama hizmeti tarafından tanımlanan her şeyi içerir, ancak uyarıyla doğrudan ilgili olmayan sonuçlar olabilir.

Sinyalleri görüntüleme

serviceActivity kaynağı, Microsoft Entra yönetici merkezinde görselleştirilen Microsoft Entra sağlık izleme sinyallerine beslenen ölçümleri alır. Daha fazla bilgi için bkz. serviceActivity kaynak türü.

1. Microsoft Graph Explorer’da en azından bir Yardım Masası Yöneticisi olarak oturum açın ve uygun izinler için onay verin.
2. Açılan listeden HTTP yöntemi olarak GET seçin ve API sürümünü betaolarak ayarlayın.
3. Belirli bir aralıkta çok faktörlü kimlik doğrulaması (MFA) oturum açma başarı ölçümlerini almak için aşağıdaki sorguyu çalıştırın.

İstek:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInFailure(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Yanıt:

Yanıt, belirli bir zaman diliminde on dakikalık aralıklarla toplanan kaç başarılı oturum açma işleminin gerçekleştiğini gösterir.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Uyarıları araştır.

Kaynak alert türü, uyarının etki özeti de dahil olmak üzere sistem durumu izleme uyarıları hakkında ayrıntılar sağlar. Daha fazla bilgi için bkz. uyarı kaynak türü.

Kiracınızın tüm etkin uyarılarını almak için aşağıdaki sorguyu çalıştırın.

İstek:

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=state eq microsoft.graph.healthmonitoring.alertState'active'&$select=id, alertType

Yanıt:

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(id,alertType)",
  "value": [
    {
      "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
      "alertType": "mfaSignInFailure"
    },
    {
      "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
       "alertType": "managedDeviceSignInFailure"
    },
  ]
}    

Araştırmak istediğiniz uyarıyı bulun ve kaydedin id ve olarak idkullanarak alertId aşağıdaki sorguyu çalıştırın. Aşağıdaki sorgu, etkilenen varlıkların kullanıcı kimliklerini almak için özelliğini genişleterek resourceSampling uyarı ayrıntılarını alır.

İstek:

Bu örnekte uyarı türünü kullanıyoruz mfaSignInFailure ancak id değer bir yer tutucu değerdir. Araştırmak istediğiniz uyarıyı id ile değiştirin.

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{id}?$expand=enrichment/impacts/microsoft.graph.healthmonitoring.directoryobjectimpactsummary/resourceSampling&$select=alertType, createdDateTime, enrichment'

Yanıt:

Yanıt okunabilirlik için kısaltılır. Yanıt, kullanıcının oturum açma etkinliğiyle ilgili daha fazla sorguda kullanılabilen etkilenen varlıkların Kullanıcı Kimliklerini içerir. Yanıt, ilgili raporlar için sorgular da içerir.

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(enrichment/impacts/microsoft.graph.healthMonitoring.directoryObjectImpactSummary/resourceSampling())/$entity",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "alertType": "mfaSignInFailure",
  "scenario": "mfa",
  "category": "authentication",
  "createdDateTime": "2025-01-10T23:59:41.1216288Z",
  "state": "resolved",
  "enrichment": {
      "state": "enriched",
      "supportingData": null,
      "impacts": [
          {
              "@odata.type": "#microsoft.graph.healthMonitoring.userImpactSummary",
              "resourceType": "User",
              "impactedCount": "4",
              "impactedCountLimitExceeded": false,
              "resourceSampling": [
                  {
                      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                  },
                  {
                      "id": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee"
                  },
                  {
                      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
                  },
                  {
                      "id": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd"
                  }
          ]    
          },
      ]
      "signals": {
          "mfaSignInFailure": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInFailure/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)",
          "mfaSignInSuccess": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInSuccess/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)"
      }
    }
  }    

Etkilenen varlıkların ayrıntılarına sahip olduktan sonra oturum açma etkinliği, denetim günlükleri ve Koşullu Erişim gibi sorunları gidermeye başlayabilirsiniz.

Durumu güncelleştirme

Sorunun kök nedenini araştırdıktan ve potansiyel olarak çözdükten sonra, uyarıyı çözüldü olarak işaretleyebilirsiniz. Aşağıdaki PATCH isteğini çalıştırın. Microsoft Entra yönetim merkezi kullanan eşdeğer eylem, uyarı durumunu Dismissed olarak güncelleştirmektir.

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Content-Type: application/json
{
  "state": "resolved"
}

İlgili içerik

• Uyumlu veya yönetilen cihaz gerektiren oturum açma işlemleri
• MFA Gerektiren Oturum Açma İşlemleri
• Microsoft Graph Sağlık izleme uyarıları API belgeleri