Microsoft Sentinel 可以将机器学习 (ML) 应用于安全事件数据,以确定远程桌面协议 (RDP) 登录活动的异常情况。 方案包括:
异常 IP - 在过去30天内很少或从未观察到 IP 地址
异常地理位置 - 在过去 30 天内很少或从未观察到的 IP 地址、城市、国家/地区和 ASN
新用户 - 根据之前 30 天的数据,新用户用于登录的 IP 地址和地理位置这两项或其中一项不应出现。
重要
异常 RDP 登录检测目前为公共预览版。 此功能不附带服务级别协议,不建议将其用于生产工作负载。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
配置异常 RDP 登录检测
必须通过安全事件或 Windows 安全事件数据连接器来收集 RDP 登录数据(事件 ID 4624)。 请确保已选择除“无”之外的事件集,或已创建包含此事件 ID 的数据收集规则,以便将事件流式传输到 Microsoft Sentinel。
在 Microsoft Sentinel 门户中,单击“分析”,然后选择“规则模板”选项卡。选择“(预览版)匿名 RDP 登录检测”并将“状态”滑块移动到“已启用” 。
由于机器学习算法需要 30 天的数据来构建用户行为的基线配置文件,因此必须先允许收集 30 天的 Windows 安全事件数据,然后才能检测任何事件。