Konfigurowanie zdarzeń zabezpieczeń lub łącznika zdarzeń Zabezpieczenia Windows na potrzeby nietypowego wykrywania logowania protokołu RDP
Usługa Microsoft Sentinel może stosować uczenie maszynowe (ML) do danych zdarzeń zabezpieczeń w celu zidentyfikowania nietypowego działania logowania protokołu Remote Desktop Protocol (RDP). Scenariusze obejmują:
Nietypowy adres IP — adres IP rzadko występuje lub nigdy nie zaobserwowano w ciągu ostatnich 30 dni
Nietypowa lokalizacja geograficzna — adres IP, miasto, kraj/region i numer ASN rzadko występują lub nigdy nie zaobserwowano w ciągu ostatnich 30 dni
Nowy użytkownik — nowy użytkownik loguje się z adresu IP i lokalizacji geograficznej, z których oba lub które nie były widoczne na podstawie danych z 30 dni wcześniej.
Ważne
Nietypowe wykrywanie logowania RDP jest obecnie dostępne w publicznej wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.
Konfigurowanie nietypowego wykrywania logowania RDP
Musisz zbierać dane logowania protokołu RDP (identyfikator zdarzenia 4624) za pośrednictwem zdarzeń zabezpieczeń lub łączników danych zdarzeń Zabezpieczenia Windows. Upewnij się, że wybrano zestaw zdarzeń oprócz "Brak" lub utworzono regułę zbierania danych zawierającą ten identyfikator zdarzenia, aby przesyłać strumieniowo do usługi Microsoft Sentinel.
W portalu usługi Microsoft Sentinel wybierz pozycję Analiza, a następnie wybierz kartę Szablony reguł. Wybierz regułę wykrywania nietypowego protokołu RDP (wersja zapoznawcza) i przesuń suwak Stan do pozycji Włączone.
Ponieważ algorytm uczenia maszynowego wymaga 30 dni od danych do utworzenia profilu bazowego zachowania użytkownika, przed wykryciem zdarzeń należy zezwolić na zbieranie danych Zabezpieczenia Windows zdarzeń przez 30 dni.