De connector voor beveiligingsevenementen of Windows-beveiliging-gebeurtenissen configureren voor detectie van afwijkende RDP-aanmeldingen
Microsoft Sentinel kan machine learning (ML) toepassen op gegevens van beveiligingsevenementen om afwijkende RDP-aanmeldingsactiviteit (Remote Desktop Protocol) te identificeren. Scenario's zijn onder andere:
Ongebruikelijk IP-adres : het IP-adres is zelden of nooit waargenomen in de afgelopen 30 dagen
Ongebruikelijke geografische locatie: het IP-adres , de plaats, het land/de regio en de ASN zijn de afgelopen 30 dagen zelden of nooit waargenomen
Nieuwe gebruiker : een nieuwe gebruiker meldt zich aan vanaf een IP-adres en geo-locatie, die beide of een van beide niet werd verwacht te worden gezien op basis van gegevens van de 30 dagen ervoor.
Belangrijk
Afwijkende RDP-aanmeldingsdetectie is momenteel in openbare preview. Deze functie wordt geleverd zonder serviceovereenkomst en wordt niet aanbevolen voor productieworkloads. Zie Supplemental Terms of Use for Microsoft Azure Previews (Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews) voor meer informatie.
Afwijkende RDP-aanmeldingsdetectie configureren
U moet RDP-aanmeldingsgegevens (gebeurtenis-id 4624) verzamelen via de gegevensconnectors Beveiligings- of Windows-beveiliging Gebeurtenissen. Zorg ervoor dat u naast 'Geen' een gebeurtenissenset hebt geselecteerd of een regel voor gegevensverzameling hebt gemaakt die deze gebeurtenis-id bevat, om te streamen naar Microsoft Sentinel.
Selecteer In de Microsoft Sentinel-portal de optie Analyse en selecteer vervolgens het tabblad Regelsjablonen . Kies de (preview) afwijkende regel voor RDP-aanmeldingsdetectie en verplaats de schuifregelaar Status naar Ingeschakeld.
Omdat het machine learning-algoritme 30 dagen aan gegevens vereist om een basislijnprofiel van gebruikersgedrag te maken, moet u 30 dagen aan Windows-beveiliging gebeurtenisgegevens verzamelen voordat er incidenten kunnen worden gedetecteerd.