Anormal RDP oturum açma algılaması için Güvenlik Olayları veya Windows Güvenliği Olayları bağlayıcısını yapılandırma
Microsoft Sentinel, anormal Uzak Masaüstü Protokolü (RDP) oturum açma etkinliğini tanımlamak için Güvenlik olayları verilerine makine öğrenmesi (ML) uygulayabilir. Senaryolar şunlardır:
Olağan dışı IP - IP adresi son 30 gün içinde nadiren gözlemlendi veya hiç gözlemlenmedi
Olağan dışı coğrafi konum - IP adresi, şehir, ülke/bölge ve ASN son 30 gün içinde nadiren gözlemlenmedi veya hiç gözlemlenmedi
Yeni kullanıcı : Yeni kullanıcı, 30 gün önceki verilere göre görülmesi beklenmeyen bir IP adresinden ve coğrafi konumdan oturum açar.
Önemli
Anormal RDP oturum açma algılaması şu anda genel önizleme aşamasındadır. Bu özellik bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Anormal RDP oturum açma algılamayı yapılandırma
Güvenlik olayları veya Windows Güvenliği Olaylar veri bağlayıcıları aracılığıyla RDP oturum açma verilerini (Olay Kimliği 4624) toplamanız gerekir. Microsoft Sentinel'e akış yapmak için "Yok" dışında bir olay kümesi seçtiğinizden veya bu olay kimliğini içeren bir veri toplama kuralı oluşturduğunuzdan emin olun.
Microsoft Sentinel portalında Analiz'i ve ardından Kural şablonları sekmesini seçin. (Önizleme) Anormal RDP Oturum Açma Algılama kuralını seçin ve Durum kaydırıcısını Etkin'e getirin.
Makine öğrenmesi algoritması, kullanıcı davranışının temel profilini oluşturmak için 30 günlük veri gerektirdiğinden, herhangi bir olay algılanamadan önce 30 günlük Windows Güvenliği olay verilerinin toplanmasına izin vermelisiniz.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin