針對異常 RDP 登入偵測設定安全性事件或Windows 安全性事件連接器
Microsoft Sentinel 可以將機器學習 (ML) 套用至安全性事件資料,藉以識別異常遠端桌面通訊協定 (RDP) 登入活動。 案例包括:
不尋常的 IP - 過去 30 天內很少或從未觀察到 IP 位址
不尋常的地理位置 - 過去 30 天內很少或從未觀察到 IP 位址、城市、國家/地區和 ASN
新使用者 - 新使用者會從 IP 位址和地理位置登入,或其中一個使用者都未預期會根據 30 天前的資料來查看。
重要
異常 RDP 登入偵測目前為公開預覽狀態。 此功能是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
設定異常 RDP 登入偵測
您必須透過安全性事件或 Windows 安全性事件資料連接器收集 RDP 登入資料 (事件識別碼 4624)。 請確定您已選取 [無] 以外的事件集,或已建立包含此事件識別碼的資料收集規則,藉以串流至 Microsoft Sentinel。
從 Microsoft Sentinel 入口網站中,選取 [分析],然後選取 [規則範本] 索引標籤。選擇 [(預覽) 異常 RDP 登入偵測] 規則,然後將 [狀態] 滑桿移至 [已啟用]。
由於機器學習演算法需要 30 天的資料來組建使用者行為的基準設定檔,因此您必須允許收集 30 天的 Windows 安全性事件資料,才能偵測到任何事件。