Поделиться через

Соединитель Автоматизированной логики WebCTRL для Microsoft Sentinel

  • Статья

Журналы аудита можно передавать из сервера SQL WebCTRL, размещенного на компьютерах Windows, подключенных к Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает аналитические сведения о промышленных системах управления, которые отслеживаются или контролируются приложением WEBCTRL BAS.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Событие (AutomatedLogic-WebCTRL)
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Общее количество предупреждений и ошибок, вызванных приложением

Event

| where Source == "ALCWebCTRL"

| where EventLevel in (1,2,3)

Инструкции по установке поставщика

  1. Установите и войдите в microsoft agent для Windows.

Узнайте о настройке агента и подключении событий Windows.

Этот шаг можно пропустить, если вы уже установили агент Microsoft для Windows

  1. Настройка задачи Windows для чтения данных аудита и записи их в события Windows

Установите и настройте запланированную задачу Windows для чтения журналов аудита в SQL и записи их в качестве событий Windows. Эти события Windows будут собираться агентом и пересылаться в Microsoft Sentinel.

Обратите внимание, что данные со всех компьютеров будут храниться в выбранной рабочей области.

2.1 Скопируйте файлы установки в расположение на сервере.

2.2. Обновите параметры скрипта ALC-WebCTRL-AuditPull.ps1 (скопированные на предыдущем шаге), такие как имя целевой базы данных и идентификатор события Windows. Дополнительные сведения см. в комментариях в скрипте.

2.3. Обновление параметров задач Windows в файле ALC-WebCTRL-AuditPullTaskConfig.xml , скопированном на предыдущем шаге, согласно требованию. Дополнительные сведения см. в комментариях в файле.

2.4 Установка задач Windows с помощью обновленных конфигураций, скопированных на приведенных выше шагах

Выполните следующую команду в PowerShell из каталога, в котором файлы установки копируются на шаге 2.1.

schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"

  1. Проверка подключения

Следуйте инструкциям, чтобы проверить подключение:

Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы событий.

Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.

Если журналы не получены, проверьте следующие действия для проблем со временем выполнения:

  1. Убедитесь, что запланированная задача создана и находится в состоянии выполнения в планировщике задач Windows.
  1. Проверьте наличие ошибок выполнения задач на вкладке журнала в планировщике задач Windows для созданной задачи на шаге 2.4.
  1. Убедитесь, что таблица аудита SQL состоит из новых записей во время выполнения запланированной задачи Windows.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.