Conector WebCTRL de lógica automatizada para Microsoft Sentinel

Você pode transmitir os logs de auditoria do servidor SQL WebCTRL hospedado em máquinas Windows conectadas ao seu Microsoft Sentinel. Essa conexão permite visualizar painéis, criar alertas personalizados e melhorar a investigação. Isso fornece informações sobre seus Sistemas de Controle Industrial que são monitorados ou controlados pelo aplicativo WebCTRL BAS.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Evento (AutomatedLogic-WebCTRL)
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Corporação Microsoft

Exemplos de consulta

Total de avisos e erros gerados pelo aplicativo

Event

| where Source == "ALCWebCTRL"

| where EventLevel in (1,2,3)

Instruções de instalação do fornecedor

  1. Instale e integre o Microsoft agent for Windows.

Saiba mais sobre a configuração do agente e a integração de eventos do Windows.

Você pode pular esta etapa se já tiver instalado o Microsoft agent for Windows

  1. Configurar a tarefa do Windows para ler os dados de auditoria e gravá-los em eventos do Windows

Instale e configure a Tarefa Agendada do Windows para ler os logs de auditoria no SQL e gravá-los como Eventos do Windows. Esses Eventos do Windows serão coletados pelo agente e encaminhados para o Microsoft Sentinel.

Observe que os dados de todas as máquinas serão armazenados no espaço de trabalho selecionado

2.1 Copie os arquivos de instalação para um local no servidor.

2.2 Atualize os parâmetros de script ALC-WebCTRL-AuditPull.ps1 (copiados na etapa acima), como o nome do banco de dados de destino e as IDs de evento do Windows. Consulte os comentários no script para obter mais detalhes.

2.3 Atualize as configurações de tarefas do Windows no arquivo ALC-WebCTRL-AuditPullTaskConfig.xml que foi copiado na etapa acima, conforme requisito. Consulte os comentários no arquivo para obter mais detalhes.

2.4 Instale tarefas do Windows usando as configurações atualizadas copiadas nas etapas acima

Execute o seguinte comando no powershell a partir do diretório onde os arquivos de instalação são copiados na etapa 2.1

schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"

  1. Validar conexão

Siga as instruções para validar sua conectividade:

Abra o Log Analytics para verificar se os logs são recebidos usando o esquema de eventos.

Pode levar cerca de 20 minutos até que a conexão transmita dados para seu espaço de trabalho.

Se os logs não forem recebidos, valide as etapas abaixo para quaisquer problemas de tempo de execução:

  1. Verifique se a tarefa agendada foi criada e está em execução no Agendador de Tarefas do Windows.
  1. Verifique se há erros de execução de tarefas na guia histórico no Agendador de Tarefas do Windows para a tarefa recém-criada na etapa 2.4
  1. Certifique-se de que a tabela de Auditoria SQL consiste em novos registros enquanto a tarefa agendada do Windows é executada.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.