Connecteur Logic WebCTRL automatisé pour Microsoft Sentinel

  • Article

Vous pouvez diffuser en continu les journaux d’audit à partir du serveur SQL WebCTRL hébergé sur des machines Windows connectées à votre instance Microsoft Sentinel. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela donne des insights sur vos systèmes de contrôle industriel surveillés ou contrôlés par l’application WebCTRL BAS.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Événement (AutomatedLogic-WebCTRL)
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

Nombre total d’avertissements et d’erreurs déclenchés par l’application

Event

| where Source == "ALCWebCTRL"

| where EventLevel in (1,2,3)

Instructions d’installation du fournisseur

  1. Installez et intégrez l’agent Microsoft pour Windows.

Découvrez la configuration de l’agent et l’intégration des événements Windows.

Vous pouvez ignorer cette étape si vous avez déjà installé l’agent Microsoft pour Windows

  1. Configurer une tâche Windows pour lire les données d’audit et les écrire dans les événements Windows

Installez et configurez la tâche planifiée Windows pour lire les journaux d’audit dans SQL et les écrire en tant qu’événements Windows. Ces événements Windows sont collectés par l’agent et transférés à Microsoft Sentinel.

Notez que les données de toutes les machines seront stockées dans l’espace de travail sélectionné

2.1 Copiez les fichiers d’installation vers un emplacement sur le serveur.

2.2 Mettez à jour les paramètres du script ALC-WebCTRL-AuditPull.ps1 (copiés à l’étape ci-dessus), comme le nom de la base de données cible et l’ID d’événement Windows. Pour plus d’informations, reportez-vous aux commentaires du script.

2.3 Mettez à jour les paramètres de tâche Windows dans le fichier ALC-WebCTRL-AuditPullTaskConfig.xml qui a été copié à l’étape ci-dessus en fonction des besoins. Pour plus d’informations, reportez-vous aux commentaires du fichier.

2.4 Installez les tâches Windows à l’aide des configurations mises à jour copiées dans les étapes ci-dessus

Exécutez la commande suivante dans PowerShell à partir du répertoire où les fichiers d’installation sont copiés à l’étape 2.1

schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"

  1. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma Event.

Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.

Si les journaux ne sont pas reçus, validez les étapes ci-dessous pour tout problème d’exécution :

  1. Assurez-vous que la tâche planifiée est créée et qu’elle est en cours d’exécution dans le planificateur de tâches Windows.
  1. Recherchez les erreurs d’exécution de tâche sous l’onglet Historique du Planificateur de tâches Windows pour la tâche nouvellement créée à l’étape 2.4
  1. Vérifiez que la table d’audit SQL se compose de nouveaux enregistrements pendant l’exécution de la tâche Windows planifiée.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.