Configurare il connettore Eventi di sicurezza o eventi di Sicurezza di Windows per il rilevamento di accesso RDP anomalo
Microsoft Sentinel può applicare Machine Learning ai dati degli eventi di sicurezza per identificare le attività di accesso RDP (Remote Desktop Protocol) anomale. Alcuni scenari includono:
IP insolito : l'indirizzo IP raramente o non è mai stato osservato negli ultimi 30 giorni
Posizione geografica insolita: l'indirizzo IP, la città, il paese/area geografica e l'ASN raramente o non sono mai stati osservati negli ultimi 30 giorni
Nuovo utente: un nuovo utente accede da un indirizzo IP e da una posizione geografica, entrambi o entrambi i quali non dovrebbero essere visualizzati in base ai dati dei 30 giorni precedenti.
Importante
Il rilevamento dell'accesso RDP anomalo è attualmente disponibile in anteprima pubblica. Questa funzionalità viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
Configurare il rilevamento di accesso RDP anomalo
È necessario raccogliere dati di accesso RDP (ID evento 4624) tramite i connettori dati Eventi di sicurezza o Sicurezza di Windows Eventi. Assicurarsi di aver selezionato un set di eventi oltre a "Nessuno" o di aver creato una regola di raccolta dati che include questo ID evento, per lo streaming in Microsoft Sentinel.
Nel portale di Microsoft Sentinel selezionare Analisi e quindi selezionare la scheda Modelli di regola. Scegliere la regola di rilevamento di accesso RDP anomalo (anteprima) e spostare il dispositivo di scorrimento Stato su Abilitato.
Poiché l'algoritmo di Machine Learning richiede 30 giorni di dati per creare un profilo di base del comportamento dell'utente, è necessario consentire la raccolta di 30 giorni di dati degli eventi Sicurezza di Windows prima che vengano rilevati eventi imprevisti.