Automatizált Logic WebCTRL-összekötő a Microsoft Sentinelhez
A naplókat a Microsoft Sentinelhez csatlakoztatott Windows-gépeken üzemeltetett WebCTRL SQL-kiszolgálóról streamelheti. Ez a kapcsolat lehetővé teszi irányítópultok megtekintését, egyéni riasztások létrehozását és a vizsgálat javítását. Ez betekintést nyújt a WebCTRL BAS-alkalmazás által monitorozott vagy ellenőrzött ipari vezérlőrendszerekbe.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
Csatlakozás or attribútum | Leírás |
---|---|
Log Analytics-tábla(ok) | Esemény (AutomatedLogic-WebCTRL) |
Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Az alkalmazás által kiváltott összes figyelmeztetés és hiba
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Szállító telepítési útmutatója
- Telepítse és előkészítse a WindowsHoz készült Microsoft-ügynököt.
Ismerje meg az ügynökök beállítását és a windowsos események előkészítését.
Ezt a lépést kihagyhatja, ha már telepítette a WindowsHoz készült Microsoft-ügynököt
- A Windows-feladat konfigurálása a naplózási adatok olvasására és windowsos eseményekre való írására
Telepítse és konfigurálja a Windows ütemezett feladatát, hogy beolvassa a naplókat az SQL-ben, és windowsos eseményként írja őket. Ezeket a Windows-eseményeket az ügynök gyűjti össze, és továbbítja a Microsoft Sentinelnek.
Figyelje meg, hogy az összes gép adatai a kijelölt munkaterületen lesznek tárolva
2.1 Másolja a telepítőfájlokat a kiszolgáló egyik helyére.
2.2 Frissítse az ALC-WebCTRL-AuditPull.ps1 (a fenti lépésben másolt) szkriptparamétereket, például a céladatbázis nevét és a Windows eseményazonosítóját. További részletekért tekintse meg a szkript megjegyzéseit.
2.3 Frissítse a windowsos feladatbeállításokat a ALC-WebCTRL-AuditPullTaskConfig.xml fájlban, amelyet a fenti lépésben kimásolt a követelménynek megfelelően. További részletekért tekintse meg a fájl megjegyzéseit.
2.4 Windows-feladatok telepítése a fenti lépésekben másolt frissített konfigurációkkal
Futtassa a következő parancsot a PowerShellben abból a könyvtárból, amelyben a telepítőfájlokat a 2.1. lépésben másolja
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Kapcsolat ellenőrzése
Kövesse az utasításokat a kapcsolat ellenőrzéséhez:
Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók az Eseményséma használatával érkeznek-e.
Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.
Ha a naplók nem érkeztek meg, ellenőrizze az alábbi lépéseket a futási idővel kapcsolatos problémák esetén:
- Győződjön meg arról, hogy az ütemezett tevékenység létrejött, és a Windows Feladatütemezőben fut.
- Feladatvégrehajtási hibák keresése a Windows Feladatütemező előzmény lapján az újonnan létrehozott tevékenységhez a 2.4. lépésben
- Győződjön meg arról, hogy az SQL Audit tábla új rekordokat tartalmaz az ütemezett windowsos feladat futtatásakor.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.