Mengonfigurasi konektor Peristiwa Keamanan atau peristiwa Keamanan Windows untuk deteksi masuk RDP anomali

Microsoft Sentinel dapat menerapkan pembelajaran mesin (ML) ke data peristiwa Keamanan untuk mengidentifikasi aktivitas login Remote Desktop Protocol (RDP) yang anomali. Skenario ini meliputi:

• IP yang tidak biasa - alamat IP jarang atau tidak pernah diamati dalam 30 hari terakhir

• Lokasi geografis yang tidak biasa - alamat IP, kota, negara/wilayah, dan ASN jarang atau tidak pernah diamati dalam 30 hari terakhir

• Pengguna baru - pengguna baru masuk dari alamat IP dan lokasi geografis, keduanya atau salah satunya tidak diharapkan untuk dilihat berdasarkan data dari 30 hari sebelumnya.

Penting

Deteksi login RDP anomali saat ini dalam pratinjau publik. Fitur ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Mengonfigurasi deteksi login RDP anomali

1. Anda harus mengumpulkan data login RDP (Peristiwa ID 4624) melalui Peristiwa keamanan atau konektor data Peristiwa Keamanan Windows. Pastikan Anda telah memilih set peristiwa selain "Tidak Ada", atau membuat aturan pengumpulan data yang mencakup ID acara ini, untuk streaming ke Microsoft Azure Sentinel.

2. Dari portal Microsoft Azure Sentinel, pilih Analitik, lalu pilih tab Templat aturan. Pilih aturan Deteksi Login RDP Anomali (Pratinjau), dan geser Status ke Diaktifkan.

Karena algoritma pembelajaran mesin memerlukan data senilai 30 hari untuk membangun profil garis besar perilaku pengguna, Anda harus mengizinkan 30 hari data peristiwa Keamanan Windows untuk dikumpulkan sebelum insiden apa pun dapat dideteksi.

Langkah berikutnya

• Set peristiwa keamanan Windows yang dapat dikirim ke Microsoft Azure Sentinel
• Keamanan Windows Peristiwa melalui konektor AMA untuk Microsoft Azure Sentinel