Partager via


Configurer le connecteur Événements de sécurité ou Événements de sécurité Windows pour la détection des connexions RDP anormales

Microsoft Sentinel peut appliquer du Machine Learning (ML) aux données Événements de sécurité pour identifier une activité de connexion RDP anormale. Il s’agit entre autres des scénarios suivants :

  • IP inhabituelle : l’adresse IP a rarement ou n’a jamais été observée au cours des 30 derniers jours

  • Emplacement géographique inhabituel : l’adresse IP, la ville, le pays/région et l’ASN ont rarement ou n’ont jamais été observés au cours des 30 derniers jours.

  • Nouvel utilisateur : un nouvel utilisateur se connecte à partir d’une adresse IP et d’un emplacement géographique, dont les deux ou l’un des deux n’étaient pas censés être vus sur la base des données des 30 jours précédents.

Important

La détection de connexion Remote Desktop Protocol (RDP) anormale est actuellement en préversion publique. Cette fonctionnalité est fournie sans contrat de niveau de service et est déconseillée pour les charges de travail de production. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Configurer la détection des connexions RDP anormales

  1. Vous devez collecter les données de connexion RDP (ID d’événement 4624) par le biais du connecteur de données des événements de sécurité ou des événements de sécurité Windows. Assurez-vous que vous avez sélectionné un jeu d’événements en plus de « Aucun », ou que vous avez créé une règle de collecte de données qui comprend cet ID d’événement afin de les transmettre en continu à Microsoft Sentinel.

  2. Dans le portail Microsoft Sentinel, sélectionnez Analyse, puis l’onglet Modèles de règles. Choisissez la règle Détection de connexion RDP anormale (préversion) et déplacez le curseur État sur Activé.

Comme l’algorithme de Machine Learning nécessite 30 jours de données pour établir un profil de base du comportement de l’utilisateur, vous devez autoriser la collecte de 30 jours de données d’événements de sécurité Windows avant que tout incident puisse être détecté.

Étapes suivantes