Geautomatiseerde Logic WebCTRL-connector voor Microsoft Sentinel
U kunt de auditlogboeken streamen van de WebCTRL SQL-server die wordt gehost op Windows-computers die zijn verbonden met uw Microsoft Sentinel. Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft inzicht in uw industriële controlesystemen die worden bewaakt of beheerd door de WebCTRL BAS-toepassing.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | Gebeurtenis (AutomatedLogic-WebCTRL) |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Totaal aantal waarschuwingen en fouten die door de toepassing zijn gegenereerd
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Installatie-instructies van leverancier
- Installeer en onboard de Microsoft-agent voor Windows.
Meer informatie over het instellen van agents en het onboarden van Windows-gebeurtenissen.
U kunt deze stap overslaan als u de Microsoft-agent voor Windows al hebt geïnstalleerd
- Windows-taak configureren om de controlegegevens te lezen en naar Windows-gebeurtenissen te schrijven
Installeer en configureer de geplande Windows-taak om de auditlogboeken in SQL te lezen en te schrijven als Windows-gebeurtenissen. Deze Windows-gebeurtenissen worden verzameld door de agent en doorgestuurd naar Microsoft Sentinel.
U ziet dat de gegevens van alle computers worden opgeslagen in de geselecteerde werkruimte
2.1 Kopieer de installatiebestanden naar een locatie op de server.
2.2 Werk de scriptparameters van het ALC-WebCTRL-AuditPull.ps1 (gekopieerd in de bovenstaande stap) bij, zoals de naam van de doeldatabase en windows-gebeurtenis-id's. Raadpleeg opmerkingen in het script voor meer informatie.
2.3 Werk de windows-taakinstellingen bij in het ALC-WebCTRL-AuditPullTaskConfig.xml-bestand dat in de bovenstaande stap is gekopieerd op basis van de vereiste. Raadpleeg opmerkingen in het bestand voor meer informatie.
2.4 Windows-taken installeren met behulp van de bijgewerkte configuraties die in de bovenstaande stappen zijn gekopieerd
Voer de volgende opdracht uit in PowerShell vanuit de map waarin de installatiebestanden worden gekopieerd in stap 2.1
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het gebeurtenisschema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, valideert u de onderstaande stappen voor eventuele runtimeproblemen:
- Zorg ervoor dat de geplande taak is gemaakt en actief is in de Windows Task Scheduler.
- Controleren op taakuitvoeringsfouten op het tabblad Geschiedenis in Windows Task Scheduler voor de zojuist gemaakte taak in stap 2.4
- Zorg ervoor dat de SQL-audittabel nieuwe records bevat terwijl de geplande Windows-taak wordt uitgevoerd.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.