Konfigurace konektoru Událostí zabezpečení nebo Zabezpečení Windows Událostí pro detekci neobvyklých přihlášení protokolu RDP

Microsoft Sentinel může použít strojové učení (ML) na data událostí zabezpečení k identifikaci neobvyklé přihlašovací aktivity protokolu RDP (Remote Desktop Protocol). Mezi scénáře patří:

• Neobvyklá IP adresa – IP adresa se v posledních 30 dnech vyskytuje zřídka nebo nikdy

• Neobvyklé geografické umístění – IP adresa, město, země/oblast a ASN se v posledních 30 dnech zaznamenaly zřídka nebo se nikdy nepoznaly

• Nový uživatel – nový uživatel se přihlásí z IP adresy a geografického umístění, z nichž oba nebo některé z nich se neočekávaly na základě dat z 30 dnů před.

Důležité

Detekce neobvyklých přihlášení RDP je aktuálně ve verzi Public Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Konfigurace neobvyklé detekce přihlášení RDP

1. Musíte shromažďovat přihlašovací data protokolu RDP (ID události 4624) prostřednictvím událostí zabezpečení nebo datových konektorů Zabezpečení Windows Události. Ujistěte se, že jste vybrali sadu událostí kromě položky None nebo jste vytvořili pravidlo shromažďování dat, které obsahuje toto ID události, aby se streamovaly do Služby Microsoft Sentinel.

2. Na portálu Microsoft Sentinel vyberte Analýza a pak vyberte kartu Šablony pravidel. Zvolte neobvyklé pravidlo detekce přihlášení protokolu RDP (Preview) a přesuňte posuvník Stav na Povoleno.

Vzhledem k tomu, že algoritmus strojového učení vyžaduje 30 dnů od dat k vytvoření základního profilu chování uživatelů, musíte povolit shromažďování dat Zabezpečení Windows událostí po dobu 30 dnů před zjištěním jakýchkoli incidentů.

Další kroky

• Sady událostí zabezpečení Windows, které se dají odeslat do Microsoft Sentinelu
• Zabezpečení Windows události prostřednictvím konektoru AMA pro Microsoft Sentinel