RDP (3389) internete açıksa botlar dakikalar içinde tarar. Tek tip savunma yeterli değil — firewall ve kimlik logları birlikte izlenmeli.
Sinyaller
- Firewall: aynı src_ip → çok sayıda 3389 deny
- Windows: 4625 LogonType 10 (RemoteInteractive)
- Başarılı 4624 sonrası anormal saat veya ülke
Kural önerisi
Önce firewall'da engelle; içeride başarılı RDP varsa incident escalasyon. OxiSec rdp_chain pattern'i bu akışı birleştirir.