How to Enable Anomalous RDP Login Detection in Azure Sentinel: Test Your Knowledge
Pregunta
Actualmente usa Azure Sentinel para la recopilación de eventos de seguridad de Windows.
Desea usar Azure Sentinel para identificar la actividad del Protocolo de escritorio remoto (RDP) que es inusual para su entorno.
Debe habilitar la regla de detección de inicio de sesión RDP anómala.
¿Qué dos requisitos previos debe asegurarse de que se cumplen antes de poder habilitar esta regla? Cada respuesta correcta presenta parte de la solución.
Escoge las Respuestas correctas.
Respuestas
A. Recopile eventos de seguridad o eventos de seguridad de Windows con el ID de evento 4624.
B. Seleccione un conjunto de eventos que no sea Ninguno.
C. Deje que el algoritmo de aprendizaje automático recopile 30 días de datos de eventos de seguridad de Windows.
D. Recopile eventos de seguridad o eventos de seguridad de Windows con ID de evento 4720.
Respuesta Correcta
Respuestas correctas: A y B
Una de las mejores características de una herramienta de administración de eventos e siem/" title="¿Qué servicio de Azure puede usar como solución de administración de eventos e información de seguridad (SIEM)?">información de seguridad (SIEM) como Azure Sentinel es la correlación de datos importantes y la búsqueda de eventos que merecen su atención.
La regla de detección de inicio de sesión RDP anómala hace exactamente eso.
Habilitar esta regla requiere dos requisitos previos:
Debe recopilar eventos de seguridad o eventos de seguridad de Windows con el ID de evento 4624
Este es el ID de evento para una cuenta que inicia sesión con éxito en una máquina/sistema.
Esto cubre muchos tipos de inicio de sesión, incluido RDP.
Sin estos datos, Azure Sentinel estaría completamente ciego a los inicios de sesión de RDP.
Este proceso se completaría en las páginas Conector de datos de eventos de seguridad o Conector de datos de eventos de seguridad de Windows (versión preliminar) dentro de Azure Sentinel.
También debe seleccionar un conjunto de eventos que no sea Ninguno.
¡Ahora puedes descargar los tests!
Poco a poco vamos agregando más.