Configurar o conector Eventos de Segurança ou eventos de Segurança do Windows para deteção de início de sessão RDP anómalo
O Microsoft Sentinel pode aplicar machine learning (ML) aos dados de Eventos de segurança para identificar atividades anómalos de início de sessão do Protocolo RDP (Remote Desktop Protocol). Os cenários incluem:
IP invulgar – o endereço IP raramente ou nunca foi observado nos últimos 30 dias
Localização geográfica invulgar – o endereço IP, a cidade, o país/região e o ASN raramente foram observados ou nunca foram observados nos últimos 30 dias
Novo utilizador – um novo utilizador inicia sessão a partir de um endereço IP e localização geográfica, ou qualquer um dos quais não era esperado para ser visto com base em dados dos 30 dias anteriores.
Importante
A deteção de início de sessão RDP anómalo está atualmente em pré-visualização pública. Esta funcionalidade é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.
Configurar a deteção de início de sessão RDP anómalo
Tem de recolher dados de início de sessão RDP (ID do Evento 4624) através dos eventos de Segurança ou dos conectores de dados Segurança do Windows Eventos. Certifique-se de que selecionou um conjunto de eventos para além de "Nenhum" ou criou uma regra de recolha de dados que inclui este ID de evento, para transmitir em fluxo para o Microsoft Sentinel.
No portal do Microsoft Sentinel, selecione Análise e, em seguida, selecione o separador Modelos de regra. Selecione a regra de Deteção de Início de Sessão RDP Anómalo (Pré-visualização) e mova o controlo de deslize Estado para Ativado.
Uma vez que o algoritmo de machine learning requer 30 dias de dados para criar um perfil de linha de base do comportamento do utilizador, tem de permitir que sejam recolhidos 30 dias de Segurança do Windows dados de eventos antes de serem detetados incidentes.