Соединитель Автоматизированной логики WebCTRL для Microsoft Sentinel
Журналы аудита можно передавать из сервера SQL WebCTRL, размещенного на компьютерах Windows, подключенных к Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает аналитические сведения о промышленных системах управления, которые отслеживаются или контролируются приложением WEBCTRL BAS.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Событие (AutomatedLogic-WebCTRL) |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Общее количество предупреждений и ошибок, вызванных приложением
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Инструкции по установке поставщика
- Установите и войдите в microsoft agent для Windows.
Узнайте о настройке агента и подключении событий Windows.
Этот шаг можно пропустить, если вы уже установили агент Microsoft для Windows
- Настройка задачи Windows для чтения данных аудита и записи их в события Windows
Установите и настройте запланированную задачу Windows для чтения журналов аудита в SQL и записи их в качестве событий Windows. Эти события Windows будут собираться агентом и пересылаться в Microsoft Sentinel.
Обратите внимание, что данные со всех компьютеров будут храниться в выбранной рабочей области.
2.1 Скопируйте файлы установки в расположение на сервере.
2.2. Обновите параметры скрипта ALC-WebCTRL-AuditPull.ps1 (скопированные на предыдущем шаге), такие как имя целевой базы данных и идентификатор события Windows. Дополнительные сведения см. в комментариях в скрипте.
2.3. Обновление параметров задач Windows в файле ALC-WebCTRL-AuditPullTaskConfig.xml , скопированном на предыдущем шаге, согласно требованию. Дополнительные сведения см. в комментариях в файле.
2.4 Установка задач Windows с помощью обновленных конфигураций, скопированных на приведенных выше шагах
Выполните следующую команду в PowerShell из каталога, в котором файлы установки копируются на шаге 2.1.
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы событий.
Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.
Если журналы не получены, проверьте следующие действия для проблем со временем выполнения:
- Убедитесь, что запланированная задача создана и находится в состоянии выполнения в планировщике задач Windows.
- Проверьте наличие ошибок выполнения задач на вкладке журнала в планировщике задач Windows для созданной задачи на шаге 2.4.
- Убедитесь, что таблица аудита SQL состоит из новых записей во время выполнения запланированной задачи Windows.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.