비정상적인 RDP 로그인 검색에 대한 보안 이벤트 또는 Windows 보안 이벤트 커넥터 구성

Microsoft Sentinel은 ML(기계 학습)을 보안 이벤트 데이터에 적용하여 비정상적인 RDP(원격 데스크톱 프로토콜) 로그인 활동을 식별할 수 있습니다. 다음과 같은 시나리오가 있습니다.

• 비정상적인 IP -지난 30일 동안 IP 주소가 거의 또는 전혀 관찰되지 않았습니다.

• 비정상적인 지리적 위치 - 지난 30일 동안 IP 주소, 구/군/시, 국가/지역 및 ASN이 거의 또는 전혀 관찰되지 않았습니다.

• 새 사용자 -새 사용자가 IP 주소 및 지리적 위치에서 로그인하거나 둘 다 또는 어느 쪽도 30일 이전 데이터를 기반으로 하여 표시되지 않습니다.

Important

비정상적인 RDP 로그인 검색은 현재 퍼블릭 미리 보기로 제공됩니다. 해당 기능은 별도의 Service Level Agreement(서비스 수준 규약) 없이 제공되며, 프로덕션 작업에는 사용하지 않는 것이 좋습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.

비정상적인 RDP 로그인 검색 구성

1. 보안 이벤트 또는 Windows 보안 이벤트 데이터 커넥터를 통해 RDP 로그인 데이터(이벤트 ID 4624)를 수집해야 합니다. "없음" 이외의 이벤트 세트를 선택했거나 이 이벤트 ID를 포함하는 데이터 수집 규칙을 만들어 Microsoft Sentinel로 스트리밍했는지 확인합니다.

2. Microsoft Sentinel 포털에서 분석을 선택한 다음, 규칙 템플릿 탭을 선택합니다. (미리 보기) 비정상적인 RDP 로그인 검색 규칙을 선택하고 상태 슬라이더를 사용으로 움직입니다.

기계 학습 알고리즘은 사용자 동작의 기준 프로필을 컴파일하는 데 30일 분량의 데이터가 필요하므로 인시던트 이전에 30일간의 Windows 보안 이벤트 데이터를 수집해야 합니다.

다음 단계

• Microsoft Sentinel로 보낼 수 있는 Windows 보안 이벤트 세트
• Microsoft Sentinel용 AMA 커넥터를 통한 Windows 보안 이벤트