Poderia ser. Então, novamente, também poderia ser um aplicativo tentando fazer logon sob credenciais onde a senha foi alterada ou expirou.
Você deve olhar mais de perto os eventos e estabelecer: - Que tipo de logon está ocorrendo? Veja se é RDP, ou algum outro tipo de acesso - Quais nomes de conta estão sendo tentados? (Se é um nome de conta aleatório que você não reconhece, ou está executando um A-Z de nomes, então definitivamente um ataque)
Fora isso, verifique se o RDP do seu servidor está acessível publicamente. Se sim, você realmente precisa disso? Se o seu servidor virtual estiver em sua organização, bloqueie seu firewall público para evitar isso (ou peça ao administrador responsável pelo firewall para fazer isso). Se estiver na nuvem, o provedor deve fornecer interfaces para controlar o acesso à rede (firewalls virtuais).
Você tem um grande problema de segurança se tiver servidores disponíveis na rede que não estejam atrás de um firewall adequado. As caixas devem estar disponíveis exclusivamente somente nas portas necessárias para a operação, portanto, uma caixa de serviço da Web básica deve ter somente as regras de firewall de saída para as portas 80 e 443 se o SSL for veiculado.
A segurança nunca deve ser abordada a partir da outra direção (inicie tudo permissivo e bloqueie somente itens específicos). Da mesma forma, a mudança para uma porta não padrão fornece apenas um aumento muito pequeno na segurança.