如何调查 Microsoft Entra 健康监控警报(预览版)
本文内容
Microsoft Entra Health 监视可帮助你通过一组健康指标和智能警报监控 Microsoft Entra 租户的状况。 健康指标会被馈送到我们的异常检测服务中,该服务使用机器学习来了解您租户的模式。 当异常情况检测服务识别租户级模式中的一个重大更改时,它会触发警报。
Microsoft Entra Health 提供的信号和警报为您调查租户中潜在问题提供了起点。 由于需要考虑多种方案甚至更多数据点,因此必须了解如何有效地调查这些警报。 本文提供有关如何调查警报但并非特定于任何警报的指南。
重要
Microsoft Entra Health 场景监控和警报当前为预览版。
此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft对此处提供的信息不作任何明示或暗示的保证。
先决条件
查看健康监控信号以及配置和接收警报的过程中,需要不同的角色、权限和许可证要求。 建议使用具有最低特权访问权限的角色,以与 零信任指南 保持一致。
已知限制
新加入的租户可能没有足够的数据来生成大约 30 天的警报。
目前,警报仅适用于Microsoft图形 API。
访问Microsoft Entra Health 指标和信号
可以从 Microsoft Entra 管理中心查看 Microsoft Entra Health 监视信号。 还可以使用 Microsoft Graph API 查看信号的属性和健康监控警报的公共预览。
至少以报告读取者 的身份登录到 Microsoft Entra 管理中心 。
浏览到“标识”>监视和运行状况”>运行状况”。
选择“方案监视”选项卡。
选择要调查的方案后,选择“查看详细信息”。
默认视图是过去七天,但可以将日期范围调整为 24 小时、7 天或 1 个月。
数据每 15 分钟更新一次。
建议定期查看这些信号,以便识别租户的趋势和模式。
使用 Microsoft Graph API,可以查看构成运行状况信号和警报的指标,并查看运行状况警报的影响摘要。 serviceActivity 资源会获取馈送到 Microsoft Entra 运行状况监视信号的指标,这些指标在 Microsoft Entra 管理中心可视化显示。 有关详细信息,请参阅 服务活动资源类型 。
运行这些查询可提供在特定时间范围内发生的服务活动的次数。 例如,若要查看成功的多重身份验证(MFA)登录数,请运行以下查询:
GET https://microsoftgraph.chinacloudapi.cn/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)
响应显示特定时间段内有多少次成功登录,这些登录事件以每 10 分钟为间隔进行聚合。
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://microsoftgraph.chinacloudapi.cn/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
"value": [
{
"intervalStartDateTime": "2023-01-10T00:00:00Z",
"value": 4
},
{
"intervalStartDateTime": "2023-01-10T00:10:00Z",
"value": 5
},
{
"intervalStartDateTime": "2023-01-10T00:20:00Z",
"value": 4
}
]
}
调查警报和信号
配置电子邮件通知时,你和你的团队可以更有效地监视这些方案的运行状况。 收到警报时,或者看到对可疑模式的更改可能需要调查时,通常需要调查以下数据集:
警报影响 :impacts 后的响应部分限定范围并汇总受影响的资源。 这些详细信息包括 impactCount,以便你可以确定问题的普及程度。警报信号 :导致出现警报的数据流或运行状况信号。 响应中提供了用于进一步调查的查询。登录日志 :响应中会提供一个查询,供进一步调查生成运行状况信号的登录日志。 登录日志提供可用于识别问题根本原因的详细事件元数据。特定于方案的资源 :根据方案,可能需要调查 Intune 符合性策略或条件访问策略。 在许多情况下,响应中提供了指向相关文档的链接。
查看影响和信号
在 Microsoft Graph 中,添加以下查询以检索租户的所有警报。
GET https://microsoftgraph.chinacloudapi.cn/beta/reports/healthMonitoring/alerts
找到并保存要调查的警报 id。
添加以下查询,使用 id 作为 alertId。
GET https://microsoftgraph.chinacloudapi.cn/beta/reports/healthMonitoring/alerts/{alertId}
有关示例请求和响应,请参阅运行状况监视列表警报对象 。
impacts 后的响应部分构成了警报的影响摘要。supportingData 部分包括用于生成警报的完整查询。查询的结果包括异常情况检测服务标识的所有内容,但可能存在与警报不直接相关的结果。
查看登录日志
至少以报告读取者 的身份登录到 Microsoft Entra 管理中心 。
浏览到“监视和运行状况”>登录日志”。
调整时间范围以匹配警报时间范围。
为条件访问添加筛选器。
选择日志条目以查看登录日志详细信息,然后选择“条件访问”选项卡以查看已应用的策略。
查看场景特定的资源
每个警报可能有不同的数据集来调查。 有关每种警报类型的详细信息,请参阅以下文章:
分析可能的根本原因
收集与方案相关的所有数据后,需要考虑可能的根本原因和研究潜在解决方案。 想想警报的严重性。 只有少数用户受到影响,还是普遍存在问题? 最近的政策更改是否产生了意外的后果?
我们建议定期查看警报和健康监控数据,以识别趋势和潜在问题,防止它们成为普遍问题。
相关内容
