Automated Logic WebCTRL-Connector für Microsoft Sentinel
Sie können die Überwachungsprotokolle des WebCTRL-SQL-Servers streamen, der auf Windows-Computern gehostet wird, die mit Ihrer Microsoft Sentinel-Instanz verbunden sind. Diese Verbindung ermöglicht Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dadurch erhalten Sie Einblicke in Ihre industriellen Steuerungssysteme, die von der WebCTRL BAS-Anwendung überwacht oder gesteuert werden.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Ereignis (AutomatedLogic-WebCTRL) |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Von der Anwendung ausgelöste Warnungen und Fehler insgesamt
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Installationsanweisungen des Anbieters
- Installieren und integrieren Sie den Microsoft-Agent für Windows.
Erfahren Sie mehr über das Einrichten des Agents und das Onboarding von Windows-Ereignissen.
Sie können diesen Schritt überspringen, wenn Sie den Microsoft-Agent für Windows bereits installiert haben.
- Konfigurieren der Windows-Aufgabe, Überwachungsdaten zu lesen und in Windows-Ereignisse zu schreiben
Installieren und konfigurieren Sie die geplante Windows-Aufgabe, um die Überwachungsprotokolle in SQL zu lesen und als Windows-Ereignisse zu schreiben. Diese Windows-Ereignisse werden vom Agent gesammelt und an Microsoft Sentinel weitergeleitet.
Beachten Sie, dass die Daten aus allen Computern im ausgewählten Arbeitsbereich gespeichert werden.
2.1 Kopieren Sie die Setupdateien an einen Speicherort auf dem Server.
2.2 Aktualisieren Sie die Skriptparameter ALC-WebCTRL-AuditPull.ps1 (im obigen Schritt kopiert), z. B. den Namen der Zieldatenbank und die Windows-Ereignis-IDs. Weitere Informationen finden Sie in den Kommentaren im Skript.
2.3 Aktualisieren Sie die Windows-Aufgabeneinstellungen in der Datei ALC-WebCTRL-AuditPullTaskConfig.xml, die im obigen Schritt kopiert wurde, gemäß den Anforderungen. Weitere Informationen finden Sie in der Datei.
2.4 Installieren Sie Windows-Aufgaben mithilfe der in den obigen Schritten kopierten aktualisierten Konfigurationen.
Führen Sie den folgenden Befehl in PowerShell aus dem Verzeichnis aus, in das die Setupdateien in Schritt 2.1 kopiert werden.
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Überprüfen der Verbindung
Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:
Öffnen Sie Log Analytics, um mithilfe des Event-Schemas zu überprüfen, ob die Protokolle empfangen werden.
Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.
Wenn die Protokolle nicht empfangen werden, überprüfen Sie die folgenden Schritte auf Runtimeprobleme:
- Stellen Sie sicher, dass die geplante Aufgabe erstellt wurde und sich im Windows-Aufgabenplaner im Ausführungszustand befindet.
- Überprüfen Sie, ob die Registerkarte „Verlauf“ im Windows-Aufgabenplaner für die in Schritt 2.4 neu erstellte Aufgabe Ausführungsfehler enthält.
- Stellen Sie sicher, dass die SQL-Audit-Tabelle neue Einträge enthält, während die geplante Windows-Aufgabe ausgeführt wird.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.