Das mit dem Internet verbundene RDP ist einer der häufigsten Eintrittsvektoren. Korrelation zwischen Firewall und Windows-Protokoll.
Wenn RDP (3389) für das Internet geöffnet ist, scannen Bots es innerhalb von Minuten. Eine Art der Verteidigung reicht nicht aus – Firewall- und Identitätsprotokolle müssen gemeinsam überwacht werden.
Blockieren Sie es zunächst in der Firewall. Eskalation des Vorfalls, wenn ein erfolgreiches RDP vorhanden ist. OxiSec rdp_chain Muster verbindet diesen Fluss.