Anormal RDP oturum açma algılaması için Güvenlik Olayları veya Windows Güvenliği Olayları bağlayıcısını yapılandırma
Microsoft Sentinel, anormal Uzak Masaüstü Protokolü (RDP) oturum açma etkinliğini tanımlamak için Güvenlik olayları verilerine makine öğrenmesi (ML) uygulayabilir. Senaryolar şunlardır:
Olağan dışı IP - IP adresi son 30 gün içinde nadiren gözlemlendi veya hiç gözlemlenmedi
Olağan dışı coğrafi konum - IP adresi, şehir, ülke/bölge ve ASN son 30 gün içinde nadiren veya hiç gözlemlenmedi
Yeni kullanıcı : Yeni bir kullanıcı, ip adresinden ve coğrafi konumdan oturum açar ve bunların her ikisi de veya herhangi birinin 30 gün önceki verilere göre görülmesi beklenmedi.
Önemli
Anormal RDP oturum açma algılaması şu anda genel önizleme aşamasındadır. Bu özellik bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.
Anormal RDP oturum açma algılamayı yapılandırma
Güvenlik olayları veya Windows Güvenliği Olaylar veri bağlayıcıları aracılığıyla RDP oturum açma verilerini (Olay Kimliği 4624) toplamanız gerekir. Microsoft Sentinel'e akış yapmak için "Yok" dışında bir olay kümesi seçtiğinizden veya bu olay kimliğini içeren bir veri toplama kuralı oluşturduğunuzdan emin olun.
Microsoft Sentinel portalında Analiz'i seçin ve ardından Kural şablonları sekmesini seçin. (Önizleme) Anormal RDP Oturum Açma Algılama kuralını seçin ve Durum kaydırıcısını Etkin konumuna getirin.
Makine öğrenmesi algoritması, kullanıcı davranışının temel profilini oluşturmak için 30 günlük veriler gerektirdiğinden, herhangi bir olay algılanamadan önce 30 günlük Windows Güvenliği olay verilerinin toplanmasına izin vermelisiniz.