Como investigar alertas de monitoramento do Microsoft Entra Health (visualização)

Artigo
01/07/2025

O monitoramento de integridade do Microsoft Entra ajuda você a monitorar a integridade do locatário do Microsoft Entra por meio de um conjunto de métricas de integridade e alertas inteligentes. As métricas de saúde são alimentadas em nosso serviço de deteção de anomalias, que usa aprendizado de máquina para entender os padrões para seu locatário. Quando o serviço de deteção de anomalias identifica uma alteração significativa em um dos padrões de nível de locatário, ele dispara um alerta.

Os sinais e alertas fornecidos pelo Microsoft Entra Health fornecem o ponto de partida para investigar possíveis problemas em seu locatário. Como há uma ampla gama de cenários e ainda mais pontos de dados a serem considerados, é importante entender como investigar esses alertas de forma eficaz. Este artigo fornece orientações sobre como investigar um alerta, mas não é específico para qualquer alerta.

Importante

O monitoramento e os alertas do cenário de saúde do Microsoft Entra encontram-se atualmente em pré-visualização. Estas informações referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui.

Pré-requisitos

Há diferentes funções, permissões e requisitos de licença para exibir sinais de saúde e configurar e receber alertas. Recomendamos o uso de uma função com acesso com privilégios mínimos para alinhar com as diretrizes do Zero Trust.

Um locatário com um de licença do Microsoft Entra P1 ou P2 do é necessário para exibir os sinais de monitoramento do cenário de integridade do Microsoft Entra.
Um locatário com uma licença Microsoft Entra P1 ou P2e pelo menos 100 usuários ativos mensais é necessário para exibir alertas e receber notificações de alerta.
A função Leitor de Relatórios é a função menos privilegiada necessária para visualizar sinais de monitoramento de cenário, alertas e configurações de alertas.
O Administrador de Helpdesk é a função menos privilegiada necessária para atualizar alertas e atualizar configurações de notificação de alerta.
A permissão HealthMonitoringAlert.Read.All é necessária para exibir os alertas usando a API do Microsoft Graph.
A permissão HealthMonitoringAlert.ReadWrite.All é necessária para exibir e modificar os alertas usando a API do Microsoft Graph.
Para obter uma lista completa de funções, consulte Função menos privilegiada por tarefa.

Limitações conhecidas

Os locatários recém-integrados podem não ter dados suficientes para gerar alertas por cerca de 30 dias.
Atualmente, os alertas só estão disponíveis com a API do Microsoft Graph.

Acesse métricas e sinais do Microsoft Entra Health

Você pode exibir os sinais de monitoramento do Microsoft Entra Health no centro de administração do Microsoft Entra. Você também pode visualizar as propriedades dos sinais e a pré-visualização pública de alertas de saúde, usando APIs do Microsoft Graph.

Centro de administração
da API do Microsoft Graph

Inicie sessão no Centro de administração do Microsoft Entra pelo menos como umLeitor de Relatórios.
Navegue até Identidade>Monitorização e saúde>Saúde. A página abre para a página de Realização do Contrato de Nível de Serviço (SLA).
Selecione a guia Monitorização de Cenários .
Selecione Exibir detalhes para o cenário que você deseja investigar.
- O modo de exibição padrão são os últimos sete dias, mas você pode ajustar o intervalo de datas para 24 horas, sete dias ou um mês.
- Os dados são atualizados a cada 15 minutos.
- Recomendamos que reveja estes sinais regularmente para que possa reconhecer as tendências e padrões do seu inquilino.

Com as APIs do Microsoft Graph, é possível visualizar as métricas que constituem os sinais de integridade e os alertas, além de avaliar o resumo do impacto de um alerta de integridade. O recurso serviceActivity obtém as métricas que alimentam os sinais de monitoramento do Microsoft Entra Health, que são visualizados no centro de administração do Microsoft Entra. Para mais informações, consulte o tipo de recurso serviceActivity.

A execução dessas consultas fornece o número de vezes que a atividade de serviço ocorreu durante um período de tempo específico. Por exemplo, para ver o número de entradas bem-sucedidas de autenticação multifator (MFA), execute a seguinte consulta:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

A resposta mostra quantas entradas bem-sucedidas ocorreram durante o período de tempo específico, agregadas em intervalos de dez minutos.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Investigar os alertas e os sinais

Você e sua equipe podem monitorar com mais eficiência a integridade desses cenários ao configurar notificações por e-mail. Quando recebe um alerta ou se vê uma alteração a um padrão que suspeita poder necessitar de investigação, normalmente tem de investigar os seguintes conjuntos de dados:

Impacto do alerta: a parte da resposta após impacts quantifica o âmbito e resume os recursos afetados. Esses detalhes incluem o impactCount para que você possa determinar o quão generalizado é o problema.
Sinais de Alerta: O fluxo de dados, ou sinal de saúde, que causou o alerta. Uma consulta é fornecida na resposta para investigação adicional.
Logs de entrada: Uma consulta é fornecida na resposta para investigação adicional sobre os logs de entrada onde o sinal de saúde foi gerado. Os logs de entrada fornecem metadados de eventos detalhados que podem ser usados para identificar a causa raiz de um problema.
Recursos específicos do cenário: dependendo do cenário, talvez seja necessário investigar as políticas de conformidade do Intune ou as políticas de Acesso Condicional. Em muitos casos, um link para a documentação relacionada é fornecido na resposta.

Ver os impactos e sinais

No Microsoft Graph, adicione a seguinte consulta para recuperar todos os alertas para o seu locatário.
```
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
```
Localize e guarde a id do alerta que pretende investigar.

Adicione a seguinte consulta, usando id como o alertId.

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}

Para obter exemplos de solicitações e respostas, consulte Objetos de alerta da Lista de Monitorização de Saúde.

O segmento da resposta após impacts compõe o resumo de impacto do alerta.
A parte supportingData inclui a consulta completa usada para gerar o alerta.
Os resultados da consulta incluem tudo o que foi identificado pelo serviço de deteção de anomalias, mas pode haver resultados que não estejam diretamente relacionados com o alerta.

Inicie sessão no centro de administração do Microsoft Entra como, pelo menos, um Leitor de Relatórios.
- Se precisar modificar as políticas de Acesso Condicional, precisará da função Administrador de Acesso Condicional .
Navegue até Monitorização & saúde>Logs de entrada.
- Ajuste o intervalo de tempo para corresponder ao período de tempo de alerta.
- Adicione um filtro para Acesso Condicional.
- Selecione um registo para exibir os detalhes do registo de entradas e selecione o separador Acesso Condicional para ver as políticas que foram aplicadas.

Exibir os recursos específicos do cenário

Cada alerta pode ter um conjunto de dados diferente para investigar. Para obter detalhes sobre cada tipo de alerta, consulte os seguintes artigos:

Analise as possíveis causas

Depois de reunir todos os dados relacionados ao cenário, você precisa considerar possíveis causas raiz e pesquisar possíveis soluções. Pense na gravidade do alerta. Apenas um punhado de usuários é afetado, ou é um problema generalizado? Uma mudança de política recente teve consequências indesejadas?

Recomendamos que se analise regularmente os alertas e os dados de monitorização do estado de funcionamento para identificar tendências e potenciais problemas antes que se tornem problemas generalizados.

Compartilhar via