Configuración del conector de eventos de seguridad o de eventos de seguridad de Windows para la detección de inicios de sesión de RDP anómalos
Microsoft Sentinel puede aplicar aprendizaje automático (ML) a los datos de eventos de seguridad para identificar actividad de inicio de sesión de Protocolo de Escritorio remoto (RDP) anómala. Los escenarios incluyen:
IP inusual: la dirección IP no se ha observado nunca o casi nunca en los últimos 30 días
Ubicación geográfica inusual: la dirección IP, la ciudad, el país o región y el ASN no se han observado nunca o casi nunca en los últimos 30 días
Nuevo usuario: un nuevo usuario inicia sesión desde una dirección IP o una ubicación geográfica que no se esperaba ver de acuerdo con los datos de los 30 días anteriores.
Importante
La detección de inicios de sesión de RDP anómalos se encuentra actualmente en versión preliminar pública. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.
Debe recopilar los datos de inicio de sesión de RDP (identificador de evento 4624) mediante los conector de datos de eventos de seguridad o de eventos de seguridad de Windows. Asegúrese de que ha seleccionado un conjunto de eventos que no sea "Ninguno", o que ha creado una regla de recopilación de datos que incluye este identificador de evento, para la transmisión a Microsoft Sentinel.
En el portal de Microsoft Sentinel, seleccione Análisis y luego la pestaña Plantillas de reglas. Seleccione la regla (Versión preliminar) Detección de inicios de sesión anómalos mediante RDP y mueva el control deslizanteEstado a Habilitado.
Dado que el algoritmo de aprendizaje automático requiere datos de 30 días para crear un perfil de base de referencia del comportamiento de los usuarios, debe permitir que se recopilen los datos de eventos de seguridad de Windows de 30 días antes de que se puedan detectar incidentes.