Configurare il connettore Eventi di sicurezza o eventi di Sicurezza di Windows per il rilevamento anomalo dell'accesso RDP
Microsoft Sentinel può applicare machine learning (ML) ai dati degli eventi di sicurezza per identificare l'attività di accesso RDP (Remote Desktop Protocol) anomalo. Alcuni scenari includono:
IP insolito : l'indirizzo IP ha raramente o mai stato osservato negli ultimi 30 giorni
Posizione geografica insolita : l'indirizzo IP, la città, il paese o l'area geografica e l'ASN raramente o non sono mai stati osservati negli ultimi 30 giorni
Nuovo utente: un nuovo utente accede da un indirizzo IP e da una posizione geografica, entrambi o uno dei quali non dovrebbero essere visualizzati in base ai dati dei 30 giorni precedenti.
Importante
Il rilevamento di accesso RDP anomalo è attualmente disponibile in anteprima pubblica. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.
Configurare il rilevamento dell'accesso RDP anomalo
È necessario raccogliere dati di accesso RDP (ID evento 4624) tramite gli eventi di sicurezza o i connettori dati eventi di Sicurezza di Windows. Assicurarsi di aver selezionato un set di eventi oltre a "None" o di creare una regola di raccolta dati che include questo ID evento, per trasmettere in Microsoft Sentinel.
Nel portale di Microsoft Sentinel selezionare Analisi e quindi selezionare la scheda Modelli di regola . Scegliere la regola di rilevamento accessi RDP anomali (anteprima) e spostare il dispositivo di scorrimento Stato su Abilitato.
Poiché l'algoritmo di Machine Learning richiede 30 giorni di dati per creare un profilo di base del comportamento dell'utente, è necessario consentire la raccolta di 30 giorni di dati degli eventi Sicurezza di Windows prima che sia possibile rilevare eventuali eventi imprevisti.