De connector voor beveiligingsevenementen of Windows-beveiliging gebeurtenissen configureren voor afwijkende RDP-aanmeldingsdetectie
Microsoft Sentinel kan machine learning (ML) toepassen op gegevens van beveiligingsevenementen om afwijkende RDP-aanmeldingsactiviteiten (Remote Desktop Protocol) te identificeren. Scenario's zijn onder andere:
Ongebruikelijk IP- het IP-adres is zelden of nooit waargenomen in de afgelopen 30 dagen
Ongebruikelijke geografische locatie : het IP-adres, de plaats, het land/de regio en de ASN zijn zelden of nooit waargenomen in de afgelopen 30 dagen
Nieuwe gebruiker : een nieuwe gebruiker meldt zich aan vanaf een IP-adres en geografische locatie, beide of een van deze gebruikers werd niet verwacht te zien op basis van gegevens van de 30 dagen daarvoor.
Belangrijk
Afwijkende RDP-aanmeldingsdetectie is momenteel beschikbaar als openbare preview. Deze functie wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.
Afwijkende RDP-aanmeldingsdetectie configureren
U moet RDP-aanmeldingsgegevens (gebeurtenis-id 4624) verzamelen via de beveiligings- of Windows-beveiliging gebeurtenisgegevensconnectors. Zorg ervoor dat u een gebeurtenisset hebt geselecteerd naast Geen of een regel voor het verzamelen van gegevens hebt gemaakt die deze gebeurtenis-id bevat, om naar Microsoft Sentinel te streamen.
Selecteer Analytics in de Microsoft Sentinel-portal en selecteer vervolgens het tabblad Regelsjablonen . Kies de afwijkende RDP-regel voor aanmeldingsdetectie (preview) en verplaats de schuifregelaar Status naar Ingeschakeld.
Omdat voor het machine learning-algoritme 30 dagen aan gegevens nodig is om een basislijnprofiel van gebruikersgedrag te maken, moet u 30 dagen aan Windows-beveiliging gebeurtenisgegevens verzamelen voordat er incidenten kunnen worden gedetecteerd.