Connettore WebCTRL per la logica automatizzata per Microsoft Sentinel
È possibile trasmettere i log di controllo dal server SQL WebCTRL ospitato nei computer Windows connessi a Microsoft Sentinel. Questa connessione consente di visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. In questo modo vengono fornite informazioni dettagliate sui sistemi di controllo industriale monitorati o controllati dall'applicazione WebCTRL BAS.
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Tabelle di Log Analytics | Evento (AutomatedLogic-WebCTRL) |
Supporto delle regole di raccolta dati | Non è al momento supportato |
Supportata da: | Microsoft Corporation |
Esempi di query
Totale avvisi ed errori generati dall'applicazione
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Istruzioni di installazione fornitore
- Installare ed eseguire l'onboarding dell'agente Microsoft per Windows.
Informazioni sull'onboarding degli eventi di installazione e windows dell'agente.
È possibile ignorare questo passaggio se è già stato installato l'agente Microsoft per Windows
- Configurare l'attività di Windows per leggere i dati di controllo e scriverli negli eventi di Windows
Installare e configurare l'attività pianificata di Windows per leggere i log di controllo in SQL e scriverli come eventi di Windows. Questi eventi di Windows verranno raccolti dall'agente e inoltrati a Microsoft Sentinel.
Si noti che i dati di tutti i computer verranno archiviati nell'area di lavoro selezionata
2.1 Copiare i file di installazione in un percorso nel server.
2.2 Aggiornare i parametri di script ALC-WebCTRL-AuditPull.ps1 (copiati nel passaggio precedente), ad esempio il nome del database di destinazione e l'ID evento di Windows. Per altri dettagli, vedere i commenti nello script.
2.3 Aggiornare le impostazioni delle attività di Windows nel file ALC-WebCTRL-AuditPullTaskConfig.xml copiato nel passaggio precedente in base alle esigenze. Per altri dettagli, fare riferimento ai commenti nel file.
2.4 Installare le attività di Windows usando le configurazioni aggiornate copiate nei passaggi precedenti
Eseguire il comando seguente in PowerShell dalla directory in cui vengono copiati i file di installazione nel passaggio 2.1
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema eventi.
Potrebbero essere necessari circa 20 minuti fino a quando i dati della connessione non passano all'area di lavoro.
Se i log non vengono ricevuti, convalidare i passaggi seguenti per eventuali problemi di runtime:
- Assicurarsi che l'attività pianificata sia stata creata e che sia in esecuzione nell'Utilità di pianificazione di Windows.
- Verificare la presenza di errori di esecuzione delle attività nella scheda cronologia in Utilità di pianificazione di Windows per l'attività appena creata nel passaggio 2.4
- Assicurarsi che la tabella sql Audit sia costituita da nuovi record durante l'esecuzione dell'attività di Windows pianificata.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.