Konektor WebCTRL Logika Otomatis untuk Microsoft Azure Sentinel
Anda dapat mengalirkan log audit dari server WebCTRL SQL yang dihosting di komputer Windows yang tersambung ke Microsoft Azure Sentinel Anda. Koneksi ini memungkinkan Anda melihat dasbor, membuat pemberitahuan kustom, dan meningkatkan penyelidikan. Ini memberikan wawasan tentang Sistem Kontrol Industri Anda yang dipantau atau dikendalikan oleh aplikasi WebCTRL BAS.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
atribut Koneksi or
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | Peristiwa (AutomatedLogic-WebCTRL) |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Microsoft Corporation |
Kueri sampel
Total peringatan dan kesalahan yang dimunculkan oleh aplikasi
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Instruksi penginstalan vendor
- Instal dan onboard agen Microsoft untuk Windows.
Pelajari tentang penyiapan agen dan onboarding peristiwa windows.
Anda dapat melewati langkah ini jika Anda telah menginstal agen Microsoft untuk Windows
- Mengonfigurasi tugas Windows untuk membaca data audit dan menulisnya ke peristiwa windows
Instal dan konfigurasikan Tugas Terjadwal Windows untuk membaca log audit di SQL dan menulisnya sebagai Peristiwa Windows. Peristiwa Windows ini akan dikumpulkan oleh agen dan diteruskan ke Microsoft Sentinel.
Perhatikan bahwa data dari semua komputer akan disimpan di ruang kerja yang dipilih
2.1 Salin file penyiapan ke lokasi di server.
2.2 Memperbarui parameter skrip ALC-WebCTRL-AuditPull.ps1 (disalin di langkah di atas) seperti nama database target dan id peristiwa windows. Lihat komentar dalam skrip untuk detail selengkapnya.
2.3 Memperbarui pengaturan tugas windows dalam file ALC-WebCTRL-AuditPullTaskConfig.xml yang disalin di langkah di atas sesuai persyaratan. Lihat komentar dalam file untuk detail selengkapnya.
2.4 Menginstal tugas windows menggunakan konfigurasi yang diperbarui yang disalin pada langkah-langkah di atas
Jalankan perintah berikut di powershell dari direktori tempat file penyiapan disalin di langkah 2.1
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Validasi koneksi
Ikuti instruksi untuk memvalidasi konektivitas Anda:
Buka Analitik Log untuk memeriksa apakah log diterima menggunakan skema Peristiwa.
Mungkin perlu waktu sekitar 20 menit hingga koneksi mengalirkan data ke ruang kerja Anda.
Jika log tidak diterima, validasi langkah-langkah di bawah ini untuk masalah run time apa pun:
- Pastikan bahwa tugas terjadwal dibuat dan dalam status berjalan di Penjadwal Tugas Windows.
- Periksa kesalahan eksekusi tugas di tab riwayat di Penjadwal Tugas Windows untuk tugas yang baru dibuat di langkah 2.4
- Pastikan bahwa tabel Audit SQL terdiri dari rekaman baru saat tugas windows terjadwal berjalan.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.