Konfigurera anslutningsappen säkerhetshändelser eller Windows-säkerhet händelser för avvikande RDP-inloggningsidentifiering

Microsoft Sentinel kan använda maskininlärning (ML) för säkerhetshändelser för att identifiera avvikande RDP-inloggningsaktivitet (Remote Desktop Protocol). Scenarier är:

• Ovanlig IP - IP-adressen har sällan eller aldrig observerats under de senaste 30 dagarna

• Ovanlig geo-plats – IP-adressen, staden, landet/regionen och ASN har sällan eller aldrig observerats under de senaste 30 dagarna

• Ny användare – en ny användare loggar in från en IP-adress och en geo-plats, som båda eller någon av dem inte förväntades visas baserat på data från 30 dagar tidigare.

Viktigt!

Avvikande RDP-inloggningsidentifiering finns för närvarande i offentlig förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

Konfigurera avvikande RDP-inloggningsidentifiering

1. Du måste samla in RDP-inloggningsdata (händelse-ID 4624) via dataanslutningarna Säkerhetshändelser eller Windows-säkerhet Händelser. Kontrollera att du har valt en händelseuppsättning förutom "Ingen" eller skapat en datainsamlingsregel som innehåller det här händelse-ID:t för att strömma till Microsoft Sentinel.

2. I Microsoft Sentinel-portalen väljer du Analys och sedan fliken Regelmallar. Välj regeln (förhandsversion) Avvikande RDP-inloggningsidentifiering och flytta skjutreglaget Status till Aktiverad.

Eftersom maskininlärningsalgoritmen kräver 30 dagars data för att skapa en baslinjeprofil för användarbeteende måste du tillåta att 30 dagars Windows-säkerhet händelsedata samlas in innan några incidenter kan identifieras.

Nästa steg

• Windows-säkerhetshändelseuppsättningar som kan skickas till Microsoft Sentinel
• Windows-säkerhet händelser via AMA-anslutningsprogrammet för Microsoft Sentinel