Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel kan anvende machine learning (ML) på sikkerhedshændelsesdata for at identificere unormalE RDP-logonaktivitet (Remote Desktop Protocol). Scenarier omfatter:
Usædvanlig IP - IP-adressen er sjældent eller aldrig blevet observeret i de sidste 30 dage
Usædvanlig geo-placering – IP-adressen , by, land/område og ASN er sjældent eller aldrig blevet observeret inden for de sidste 30 dage
Ny bruger – en ny bruger logger på fra en IP-adresse og en geografisk placering, som begge eller en af dem ikke forventedes at blive set på baggrund af data fra de 30 dage før.
Vigtigt!
Uregelmæssig registrering af RDP-logon er i øjeblikket i offentlig prøveversion. Denne funktion leveres uden en serviceniveauaftale, og den anbefales ikke til produktionsarbejdsbelastninger. Du kan få flere oplysninger under Supplerende vilkår for anvendelse af Prøveversioner af Microsoft Azure.
Konfigurer registrering af uregelmæssig RDP-logon
Du skal indsamle RDP-logondata (Event ID 4624) via sikkerhedshændelser eller Windows Sikkerhed Hændelsesdataconnectors. Sørg for, at du har valgt et hændelsessæt ud over "Ingen", eller opret en regel for dataindsamling, der indeholder dette hændelses-id, for at streame til Microsoft Sentinel.
Vælg Analytics på Microsoft Sentinel-portalen, og vælg derefter fanen Regelskabeloner. Vælg reglen (prøveversion) Registrering af uregelmæssigheder i RDP-logon, og flyt skyderen Status til Aktiveret.
Da algoritmen for maskinel indlæring kræver data for 30 dage for at oprette en grundlæggende profil for brugeradfærd, skal du tillade, at der indsamles 30 dages data om Windows Sikkerhed hændelser, før der kan registreres hændelser.