Konfigurieren des Connectors für sicherheitsrelevante Ereignisse oder sicherheitsrelevante Windows-Ereignisse zur Erkennung ungewöhnlicher RDP-Anmeldungen
Microsoft Sentinel kann maschinelles Lernen (ML) auf Sicherheitsereignisdaten anwenden, um anomale RDP-Anmeldeaktivitäten (Remote Desktop Protocol) zu identifizieren. Mögliche Szenarien:
Ungewöhnliche IP-Adresse: Die IP-Adresse ist in den letzten 30 Tagen nur selten oder gar nicht aufgetreten.
Ungewöhnliche Geolocation: IP-Adresse, Ort, Land/Region und ASN sind in den letzten 30 Tagen nur selten oder gar nicht aufgetreten.
Neuer Benutzer: Ein neuer Benutzer meldet sich über eine IP-Adresse oder Geolocation an, mit deren Auftreten (einzeln oder gemeinsam) anhand der Daten der letzten 30 Tage nicht gerechnet wurde.
Wichtig
Die Erkennung ungewöhnlicher RDP-Anmeldungen befindet sich derzeit in der öffentlichen Vorschauphase. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.
Konfigurieren der Erkennung anomaler RDP-Anmeldungen
Sie müssen RDP-Anmeldedaten (Ereignis-ID 4624) über den Datenconnector für Sicherheitsereignisse oder für Windows-Sicherheitsereignisse erfassen. Stellen Sie sicher, dass Sie neben "Keiner" einen Ereignissatz ausgewählt oder eine Datensammlungsregel erstellt haben, die diese Ereignis-ID enthält, um sie an Microsoft Sentinel zu streamen.
Wählen Sie im Microsoft Sentinel-Portal Analyticsund dann die Registerkarte Regelvorlagen aus. Wählen Sie die Regel (Vorschau) Anomale RDP-Anmeldeerkennung aus, und verschieben Sie den Schieberegler Status auf Aktiviert.
Da für den Machine Learning-Algorithmus zum Erstellen eines Basisprofils für das Benutzerverhalten die Daten von 30 Tagen benötigt werden, müssen Sie die Erfassung von Windows-Sicherheitsereignissen für 30 Tage zulassen, bevor Incidents erkannt werden können.