Łącznik zautomatyzowanej biblioteki WebCTRL logiki dla usługi Microsoft Sentinel
Dzienniki inspekcji można przesyłać strumieniowo z serwera SQL WebCTRL hostowanego na maszynach z systemem Windows połączonych z usługą Microsoft Sentinel. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania. Zapewnia to wgląd w systemy kontroli przemysłowej, które są monitorowane lub kontrolowane przez aplikację WebCTRL BAS.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | Zdarzenie (AutomatedLogic-WebCTRL) |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Łączna liczba ostrzeżeń i błędów zgłaszanych przez aplikację
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Instrukcje instalacji dostawcy
- Instalowanie i dołączanie agenta firmy Microsoft dla systemu Windows.
Dowiedz się więcej o konfigurowaniu agenta i dołączaniu zdarzeń systemu Windows.
Ten krok można pominąć, jeśli masz już zainstalowany program Microsoft Agent dla systemu Windows
- Konfigurowanie zadania systemu Windows w celu odczytywania danych inspekcji i zapisywania ich w zdarzeniach systemu Windows
Zainstaluj i skonfiguruj zaplanowane zadanie systemu Windows, aby odczytywać dzienniki inspekcji w języku SQL i zapisywać je jako zdarzenia systemu Windows. Te zdarzenia systemu Windows będą zbierane przez agenta i przekazywane do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich maszyn będą przechowywane w wybranym obszarze roboczym
2.1 Skopiuj pliki instalacyjne do lokalizacji na serwerze.
2.2 Zaktualizuj parametry skryptu ALC-WebCTRL-AuditPull.ps1 (skopiowane w powyższym kroku), takie jak nazwa docelowej bazy danych i identyfikatory zdarzeń systemu Windows. Aby uzyskać więcej informacji, zapoznaj się z komentarzami w skrycie.
2.3 Zaktualizuj ustawienia zadań systemu Windows w pliku ALC-WebCTRL-AuditPullTaskConfig.xml skopiowany w powyższym kroku zgodnie z wymaganiami. Aby uzyskać więcej informacji, zapoznaj się z komentarzami w pliku.
2.4 Instalowanie zadań systemu Windows przy użyciu zaktualizowanych konfiguracji skopiowanych w powyższych krokach
Uruchom następujące polecenie w programie PowerShell z katalogu, w którym pliki instalacyjne są kopiowane w kroku 2.1
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Weryfikowanie połączenia
Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:
Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu zdarzenia.
Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.
Jeśli dzienniki nie zostaną odebrane, zweryfikuj poniższe kroki pod kątem problemów z czasem wykonywania:
- Upewnij się, że zaplanowane zadanie zostało utworzone i jest uruchomione w harmonogramie zadań systemu Windows.
- Sprawdź błędy wykonywania zadań na karcie historia w harmonogramie zadań systemu Windows dla nowo utworzonego zadania w kroku 2.4
- Upewnij się, że tabela SQL Audit zawiera nowe rekordy podczas uruchamiania zaplanowanego zadania systemu Windows.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.