Настройка соединителя событий безопасности или Безопасность Windows Событий для обнаружения имен входа в RDP
Microsoft Sentinel может применять машинное обучение (ML) к данным событий безопасности для выявления аномальных действий при входе в систему по протоколу удаленного рабочего стола (RDP). Поддерживаются следующие сценарии:
Нетипичный IP-адрес – IP-адрес, который за последние 30 дней отслеживался редко или не отслеживался совсем.
Необычное географическое расположение — IP-адрес, город, страна или регион и ASN редко или никогда не наблюдались за последние 30 дней.
Новый пользователь – новый пользователь входит в систему с IP-адреса и из географического расположения, которые не ожидались на основании данных за последние 30 дней.
Внимание
Обнаружение аномального входа в систему по протоколу RDP в настоящее время находится в общедоступной предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания и не рекомендуется для использования в рабочей среде. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
Настройка аномального обнаружения входа RDP
Рекомендуется собирать данные для входа в систему по протоколу RDP (идентификатор события 4624) через соединитель данных События безопасности или События безопасности Windows. Убедитесь, что выбран набор событий, отличный от "Нет", или создано правило сбора данных, включающее этот идентификатор события, для потоковой передачи в Microsoft Sentinel.
На портале Microsoft Sentinel выберите Аналитика, а затем — вкладку Шаблоны правил. Выберите правило (Предварительная версия) Обнаружение аномального входа по RDP и переместите ползунок Состояние в положение Включено.
Поскольку алгоритму машинного обучения требуются данные за 30 дней для создания базового профиля поведения пользователя, требуется разрешить сбор данных о событиях безопасности Windows за 30 дней, прежде чем можно будет обнаружить какие-либо инциденты.