Connecteur Logic WebCTRL automatisé pour Microsoft Sentinel
Vous pouvez diffuser en continu les journaux d’audit à partir du serveur SQL WebCTRL hébergé sur des machines Windows connectées à votre instance Microsoft Sentinel. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela donne des insights sur vos systèmes de contrôle industriel surveillés ou contrôlés par l’application WebCTRL BAS.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | Événement (AutomatedLogic-WebCTRL) |
Support des Règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | Microsoft Corporation |
Exemples de requête
Nombre total d’avertissements et d’erreurs déclenchés par l’application
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Instructions d’installation du fournisseur
- Installez et intégrez l’agent Microsoft pour Windows.
Découvrez la configuration de l’agent et l’intégration des événements Windows.
Vous pouvez ignorer cette étape si vous avez déjà installé l’agent Microsoft pour Windows
- Configurer une tâche Windows pour lire les données d’audit et les écrire dans les événements Windows
Installez et configurez la tâche planifiée Windows pour lire les journaux d’audit dans SQL et les écrire en tant qu’événements Windows. Ces événements Windows sont collectés par l’agent et transférés à Microsoft Sentinel.
Notez que les données de toutes les machines seront stockées dans l’espace de travail sélectionné
2.1 Copiez les fichiers d’installation vers un emplacement sur le serveur.
2.2 Mettez à jour les paramètres du script ALC-WebCTRL-AuditPull.ps1 (copiés à l’étape ci-dessus), comme le nom de la base de données cible et l’ID d’événement Windows. Pour plus d’informations, reportez-vous aux commentaires du script.
2.3 Mettez à jour les paramètres de tâche Windows dans le fichier ALC-WebCTRL-AuditPullTaskConfig.xml qui a été copié à l’étape ci-dessus en fonction des besoins. Pour plus d’informations, reportez-vous aux commentaires du fichier.
2.4 Installez les tâches Windows à l’aide des configurations mises à jour copiées dans les étapes ci-dessus
Exécutez la commande suivante dans PowerShell à partir du répertoire où les fichiers d’installation sont copiés à l’étape 2.1
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma Event.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, validez les étapes ci-dessous pour tout problème d’exécution :
- Assurez-vous que la tâche planifiée est créée et qu’elle est en cours d’exécution dans le planificateur de tâches Windows.
- Recherchez les erreurs d’exécution de tâche sous l’onglet Historique du Planificateur de tâches Windows pour la tâche nouvellement créée à l’étape 2.4
- Vérifiez que la table d’audit SQL se compose de nouveaux enregistrements pendant l’exécution de la tâche Windows planifiée.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.