Configurar o conector de eventos de segurança/eventos de segurança do Windows para detecção de logon anômalo via RDP
O Microsoft Sentinel pode aplicar o ML (aprendizado de máquina) aos dados de eventos de segurança para identificar a atividade de logon de protocolo RDP anômala. Os cenários incluem:
IP incomum: o endereço IP raramente ou nunca foi observado nos últimos 30 dias
Localização geográfica incomum - o endereço IP, a cidade, o país e o ASN raramente ou nunca foram observados nos últimos 30 dias
Novo usuário: um novo usuário faz logon por meio de um endereço IP e localização geográfica, e não se esperava que ambos ou um deles fosse(m) visto(s) com base nos dados dos 30 dias anteriores.
Importante
A detecção de logon de RDP anômala está atualmente na visualização pública. Esse recurso é fornecido sem um Contrato de Nível de Serviço e não é recomendado para cargas de trabalho de produção. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.
Detecção de logon anômalo via RDP
Você precisa estar coletando dados de logon de RDP (ID do evento 4624) por meio dos conectores de dados de Eventos de segurança ou Eventos de Segurança do Windows. Verifique se você selecionou um conjunto de eventos além de "Nenhum" ou criou uma regra de coleta de dados que inclui essa ID de evento para transmiti-la para o Microsoft Sentinel.
No portal do Microsoft Sentinel, selecione Análise e, em seguida, selecione a guia Modelos de regra. Escolha a regra Detecção de logon de RDP anômala (versão prévia) e mova o controle deslizante Status para Habilitado.
Como o algoritmo de machine learning exige um valor de dados de 30 dias para criar um perfil de linha de base de comportamento do usuário, você precisa permitir que 30 dias de dados de Eventos de segurança do Windows sejam coletados antes que qualquer incidente possa ser detectado.