Microsoft Sentinel용 자동화된 Logic WebCTRL 커넥터
Microsoft Sentinel에 연결된 Windows 컴퓨터에서 호스트되는 WebCTRL SQL 서버에서 감사 로그를 스트리밍할 수 있습니다. 이 연결을 사용하면 대시보드를 보고 사용자 지정 경고를 만들며 조사를 향상시킬 수 있습니다. 이를 통해 WebCTRL BAS 애플리케이션에서 모니터링하거나 제어하는 산업 제어 시스템에 대한 인사이트를 얻을 수 있습니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | 이벤트(AutomatedLogic-WebCTRL) |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | Microsoft Corporation |
쿼리 샘플
애플리케이션에서 발생한 총 경고 및 오류 수
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
공급업체 설치 지침
- Windows용 Microsoft 에이전트를 설치하고 온보딩합니다.
에이전트 설정 및 Windows 이벤트 온보딩을 알아보세요.
Windows용 Microsoft 에이전트를 이미 설치한 경우에는 이 단계를 건너뛸 수 있습니다.
- 감사 데이터를 읽고 Windows 이벤트에 쓰도록 Windows 작업을 구성합니다.
Windows 예약 작업을 설치하고 SQL에서 감사 로그를 읽고 Windows 이벤트로 작성하도록 구성합니다. 이러한 Windows 이벤트는 에이전트에서 수집되고 Microsoft Sentinel로 전달됩니다.
모든 컴퓨터의 데이터가 선택한 작업 영역에 저장됩니다.
2.1 설치 파일을 서버의 위치에 복사합니다.
2.2 ALC-WebCTRL-AuditPull.ps1(위 단계에서 복사) 스크립트 매개 변수(예: 대상 데이터베이스 이름 및 Windows 이벤트 ID)를 업데이트합니다. 자세한 내용은 스크립트의 주석을 참조하세요.
2.3 요구 사항에 따라 위 단계에서 복사한 ALC-WebCTRL-AuditPullTaskConfig.xml 파일의 Windows 작업 설정을 업데이트합니다. 자세한 내용은 파일의 주석을 참조하세요.
2.4 위 단계에서 복사한 업데이트된 구성을 사용하여 Windows 작업 설치
2.1단계에서 설치 파일이 복사되는 디렉터리의 PowerShell에서 다음 명령을 실행합니다.
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- 연결 유효성 검사
지침에 따라 연결의 유효성을 검사합니다.
Log Analytics를 열어 Event 스키마를 통해 로그가 수신되는지 확인합니다.
연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분 정도 걸릴 수 있습니다.
로그가 수신되지 않으면 런타임 문제에 대해 다음 단계의 유효성을 검사합니다.
- 예약 작업이 생성되고 Windows 작업 스케줄러에서 실행 중 상태인지 확인합니다.
- Windows 작업 스케줄러의 기록 탭에서 2.4단계에서 새롭게 만든 작업에 대한 작업 실행 오류를 확인합니다.
- 예약 Windows 작업이 실행되는 동안 SQL 감사 테이블이 새 레코드로 구성되어 있는지 확인합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.