設定安全性事件或 Windows 安全性 事件連接器以進行異常 RDP 登入偵測
Microsoft Sentinel 可以將機器學習服務 (ML) 套用至安全性事件數據,以識別異常遠端桌面通訊協定 (RDP) 登入活動。 案例包括:
不尋常的IP - 過去30天內,IP位址很少或從未觀察到
不尋常的地理位置 - 過去 30 天內很少或從未觀察到 IP 位址、城市、國家/地區和 ASN
新使用者 - 新的使用者會從IP位址和地理位置登入,或兩者都未預期會根據30天前的數據來查看。
重要
異常 RDP 登入偵測目前處於公開預覽狀態。 此功能是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
設定異常 RDP 登入偵測
您必須透過安全性事件或 Windows 安全性 事件數據連接器收集 RDP 登入資料(事件識別碼 4624)。 請確定您已選取 「無」以外的事件集 ,或建立包含此事件標識碼的數據收集規則,以串流至Microsoft Sentinel。
從 Microsoft Sentinel 入口網站中,選取 [分析],然後選取 [規則範本] 索引標籤。選擇 [預覽] 異常 RDP 登入偵測規則,然後將 [狀態] 滑桿移至 [已啟用]。
由於機器學習演算法需要 30 天的數據,才能建置使用者行為的基準配置檔,因此您必須允許收集 30 天的 Windows 安全性 事件數據,才能偵測到任何事件。