異常な RDP ログイン検出用にセキュリティ イベントまたは Windows セキュリティ イベント コネクタを構成する
Microsoft Sentinel では、セキュリティ イベント データに機械学習 (ML) を適用して、リモート デスクトップ プロトコル (RDP) ログインの異常なアクティビティを識別できます。 シナリオには以下が含まれます。
通常とは異なる IP - その IP アドレスが過去 30 日間にほとんどまたはまったく確認されていない
通常とは異なる地理的な場所 - IP アドレス、都市、国/リージョン、および AS 番号 が過去 30 日間にほとんどまたはまったく確認されていない
新しいユーザー - 新しいユーザーが、過去 30 日間のデータに基づいて予期されないか確認されていない (またはその両方の) IP アドレスおよび地理的な場所からログインしている。
重要
異常な RDP ログイン検出は現在、パブリック プレビュー段階です。 この機能はサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。
異常な RDP ログイン検出を構成する
セキュリティ イベントまたは Windows セキュリティ イベント データ コネクタを使用して、RDP ログイン データ (イベント ID 4624) を収集している必要があります。 イベント セットを Microsoft Sentinel にストリーミングするには、"なし" 以外のイベント セットを選択するか、このイベント ID を含めたデータ収集ルールを作成します。
Microsoft Sentinel ポータルで、 [分析] を選択した後、 [規則のテンプレート] タブを選択します。 (Preview) Anomalous RDP Login Detection((プレビュー) 異常な RDP ログイン検出) 規則を選択し、 [状態] スライダーを [有効] に移動します。
機械学習アルゴリズムでは、ユーザー動作のベースライン プロファイルを作成するために 30 日間分のデータが必要であるため、インシデントを検出する前に、30 日間の Windows セキュリティ イベント データの収集を許可する必要があります。