Microsoft Sentinel 用の Automated Logic WebCTRL コネクタ
Microsoft Sentinel に接続されている Windows マシン上でホストされている WebCTRL SQL サーバーから、監査ログをストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これにより、WebCTRL BAS アプリケーションによって監視または制御される産業用制御システムに関する分析情報を得ることができます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | イベント (AutomatedLogic-WebCTRL) |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
アプリケーションで発生した警告とエラーの合計
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
ベンダーのインストール手順
- Windows 用 Microsoft エージェントをインストールしてオンボードします。
エージェントのセットアップと Windows イベントのオンボードについて確認します。
Windows 用 Microsoft エージェントを既にインストールしている場合は、この手順をスキップできます
- 監査データを読み取り、Windows イベントに書き込むように Windows タスクを構成します。
SQL で監査ログを読み取って Windows イベントとして書き込む、Windows のスケジュールされたタスクをインストールして構成します。 これらの Windows イベントはエージェントによって収集され、Microsoft Sentinel に転送されます。
選択したワークスペースにすべてのマシンのデータが格納されることに注意してください
2.1 セットアップ ファイルをサーバー上の場所にコピーします。
2.2 上記の手順でコピーした ALC-WebCTRL-AuditPull.ps1 でスクリプトのパラメーター (ターゲット データベース名や Windows イベント ID など) を更新します。 詳細については、スクリプトのコメントを参照してください。
2.3 上記の手順でコピーした ALC-WebCTRL-AuditPullTaskConfig.xml ファイルの Windows タスク設定を要件に従って更新します。 詳細については、ファイル内のコメントを参照してください。
2.4 上記の手順でコピーした更新済みの構成を使用して Windows タスクをインストールします。
手順 2.1 でセットアップ ファイルをコピーしたディレクトリから powershell で次のコマンドを実行します
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- 接続の検証
手順に従って接続を検証します。
Log Analytics を開き、イベント スキーマを使用してログが受信されているかどうかを確認します。
接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。
ログが受信されない場合は、実行時の問題について下の手順を検証します。
- スケジュールされたタスクが作成され、Windows タスク スケジューラで実行中の状態になっていることを確認します。
- 手順 2.4 で新しく作成されたタスクについて、Windows タスク スケジューラの [履歴] タブでタスク実行エラーを確認します。
- スケジュールされた Windows タスクの実行時に、SQL 監査テーブルが新しいレコードで構成されていることを確認します。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。