Connettore WebCTRL per la logica automatizzata per Microsoft Sentinel
È possibile trasmettere i log di controllo dal server SQL WebCTRL ospitato nei computer Windows connessi a Microsoft Sentinel. Questa connessione consente di visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. In questo modo vengono fornite informazioni dettagliate sui sistemi di controllo industriale monitorati o controllati dall'applicazione WebCTRL BAS.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle log Analytics | Evento (AutomatedLogic-WebCTRL) |
Supporto delle regole di raccolta dati | Attualmente non supportato |
Supportato da | Microsoft Corporation |
Esempi di query
Avvisi totali e errori generati dall'applicazione
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Istruzioni per l'installazione del fornitore
- Installare ed eseguire l'onboarding dell'agente Microsoft per Windows.
Informazioni sull'onboarding degli eventi di installazione e windows dell'agente.
È possibile ignorare questo passaggio se è già stato installato l'agente Microsoft per Windows
- Configurare l'attività Di Windows per leggere i dati di controllo e scriverla negli eventi di Windows
Installare e configurare l'attività pianificata di Windows per leggere i log di controllo in SQL e scriverli come eventi di Windows. Questi eventi di Windows verranno raccolti dall'agente e inoltrati a Microsoft Sentinel.
Si noti che i dati di tutti i computer verranno archiviati nell'area di lavoro selezionata
2.1 Copiare i file di installazione in un percorso nel server.
2.2 Aggiornare i parametri di script ALC-WebCTRL-AuditPull.ps1 (copiati nel passaggio precedente), ad esempio il nome del database di destinazione e l'ID evento windows. Per altre informazioni, vedere commenti nello script.
2.3 Aggiornare le impostazioni dell'attività windows nel file diALC-WebCTRL-AuditPullTaskConfig.xml copiato nel passaggio precedente in base alle esigenze. Per altre informazioni, vedere commenti nel file.
2.4 Installare le attività di Windows usando le configurazioni aggiornate copiate nei passaggi precedenti
Eseguire il comando seguente in powershell dalla directory in cui i file di installazione vengono copiati nel passaggio 2.1
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema eventi.
Potrebbero essere necessari circa 20 minuti fino a quando i dati dei flussi di connessione all'area di lavoro.
Se i log non vengono ricevuti, convalidare i passaggi seguenti per eventuali problemi di runtime:
- Assicurarsi che l'attività pianificata venga creata ed sia in esecuzione nello stato in esecuzione nell'Utilità di pianificazione di Windows.
- Controllare gli errori di esecuzione delle attività nella scheda cronologia in Utilità di Pianificazione di Windows per l'attività appena creata nel passaggio 2.4
- Assicurarsi che la tabella di controllo SQL sia costituita da nuovi record durante l'esecuzione dell'attività windows pianificata.
Passaggi successivi
Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.