Automatizovaný konektor WebCTRL logiky pro Microsoft Sentinel
Protokoly auditu můžete streamovat ze serveru SQL WebCTRL hostovaného na počítačích s Windows připojených k Microsoft Sentinelu. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. To poskytuje přehled o průmyslových řídicích systémech, které jsou monitorovány nebo řízeny aplikací WebCTRL BAS.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | Událost (AutomatedLogic-WebCTRL) |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Total warnings and errors raised by the application
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Pokyny k instalaci dodavatele
- Nainstalujte a připojte agenta Microsoftu pro Windows.
Přečtěte si informace o onboardingu událostí agenta a událostech Windows.
Tento krok můžete přeskočit, pokud jste už nainstalovali agenta Microsoftu pro Windows.
- Konfigurace úlohy Systému Windows pro čtení dat auditu a jejich zápis do událostí windows
Nainstalujte a nakonfigurujte naplánovanou úlohu Windows tak, aby četla protokoly auditu v SQL a zapisovala je jako události Systému Windows. Tyto události Windows budou shromažďovány agentem a předány službě Microsoft Sentinel.
Všimněte si, že data ze všech počítačů budou uložená ve vybraném pracovním prostoru.
2.1 Zkopírujte instalační soubory do umístění na serveru.
2.2 Aktualizujte parametry skriptu ALC-WebCTRL-AuditPull.ps1 (zkopírované v předchozím kroku), jako je název cílové databáze a ID události windows. Další podrobnosti najdete ve skriptu v komentářích.
2.3 Aktualizujte nastavení úloh systému Windows v souboru ALC-WebCTRL-AuditPullTaskConfig.xml , který byl zkopírován v předchozím kroku podle požadavku. Další podrobnosti najdete v komentářích v souboru.
2.4 Instalace úloh systému Windows pomocí aktualizovaných konfigurací zkopírovaných v předchozích krocích
V PowerShellu spusťte následující příkaz z adresáře, ve kterém se instalační soubory zkopírují v kroku 2.1.
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu událostí.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, ověřte následující kroky pro případné problémy s dobou běhu:
- Ujistěte se, že je naplánovaná úloha vytvořená a je ve spuštěném stavu v Plánovači úloh systému Windows.
- Kontrola chyb provádění úloh na kartě Historie v Plánovači úloh systému Windows pro nově vytvořenou úlohu v kroku 2.4
- Ujistěte se, že se tabulka SQL Audit skládá z nových záznamů při spuštění naplánované úlohy windows.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.