Konfigurace konektoru Událostí zabezpečení nebo událostí Zabezpečení Windows pro detekci neobvyklého přihlášení RDP
Microsoft Sentinel může použít strojové učení (ML) na data událostí zabezpečení k identifikaci neobvyklé aktivity přihlášení protokolu RDP (Remote Desktop Protocol). Mezi scénáře patří:
Neobvyklá IP adresa – IP adresa se v posledních 30 dnech vyskytla jen zřídka nebo nikdy nebyla pozorována.
Neobvyklá geografická poloha – IP adresa, město, země/oblast a ASN se během posledních 30 dnů zaznamenaly jen zřídka nebo vůbec.
Nový uživatel – nový uživatel se přihlásí z IP adresy a geografického umístění, u kterých se na základě dat z 30 dnů před tím neočekávaly zobrazení obou nebo ani jedné z nich.
Důležité
Detekce neobvyklého přihlášení RDP je v současné době ve verzi Public Preview. Tato funkce se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Konfigurace detekce neobvyklého přihlášení RDP
Musíte shromažďovat přihlašovací data protokolu RDP (ID události 4624) prostřednictvím datových konektorů události zabezpečení nebo Zabezpečení Windows Events. Ujistěte se, že jste kromě možnosti Žádná vybrali sadu událostí nebo vytvořili pravidlo shromažďování dat, které obsahuje toto ID události, pro streamování do služby Microsoft Sentinel.
Na portálu Microsoft Sentinel vyberte Analýza a pak vyberte kartu Šablony pravidel . Zvolte pravidlo Detekce neobvyklého přihlášení protokolu RDP (Preview) a posuňte posuvník Stav do polohy Povoleno.
Vzhledem k tomu, že algoritmus strojového učení vyžaduje k vytvoření základního profilu chování uživatelů data za 30 dní, musíte povolit shromažďování dat událostí po dobu 30 dnů Zabezpečení Windows, aby bylo možné detekovat jakékoli incidenty.