Microsoft Sentinel için Otomatik Mantıksal WebCTRL bağlayıcısı

  • Makale

Microsoft Sentinel'inize bağlı Windows makinelerinde barındırılan WebCTRL SQL sunucusundan denetim günlüklerinin akışını yapabilirsiniz. Bu bağlantı panoları görüntülemenizi, özel uyarılar oluşturmanızı ve araştırmayı geliştirmenizi sağlar. Bu, WebCTRL BAS uygulaması tarafından izlenen veya denetlenen Endüstriyel Kontrol Sistemlerinizle ilgili içgörüler sağlar.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları Olay (AutomatedLogic-WebCTRL)
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

Uygulama tarafından tetiklenen toplam uyarı ve hatalar

Event

| where Source == "ALCWebCTRL"

| where EventLevel in (1,2,3)

Satıcı yükleme yönergeleri

  1. Windows için Microsoft aracısını yükleme ve ekleme.

Aracı kurulumu ve windows olayları ekleme hakkında bilgi edinin.

Windows için Microsoft aracısını zaten yüklediyseniz bu adımı atlayabilirsiniz

  1. Windows görevini denetim verilerini okuyacak ve Windows olaylarına yazacak şekilde yapılandırma

SQL'deki denetim günlüklerini okumak ve bunları Windows Olayları olarak yazmak için Windows Zamanlanmış Görevini yükleyin ve yapılandırın. Bu Windows Olayları aracı tarafından toplanır ve Microsoft Sentinel'e iletilecektir.

Tüm makinelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin

2.1 Kurulum dosyalarını sunucudaki bir konuma kopyalayın.

2.2 Hedef veritabanı adı ve Windows olay kimliği gibi ALC-WebCTRL-AuditPull.ps1 (yukarıdaki adımda kopyalanır) betik parametrelerini güncelleştirin. Daha fazla ayrıntı için betikteki açıklamalara bakın.

2.3 Yukarıdaki adımda kopyalanan ALC-WebCTRL-AuditPullTaskConfig.xml dosyasındaki windows görev ayarlarını gereksinime göre güncelleştirin. Daha fazla ayrıntı için dosyadaki açıklamalara bakın.

2.4 Yukarıdaki adımlarda kopyalanan güncelleştirilmiş yapılandırmaları kullanarak Windows görevlerini yükleme

2.1. adımda kurulum dosyalarının kopyalandığı dizinden PowerShell'de aşağıdaki komutu çalıştırın

schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"

  1. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin Olay şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa, çalışma zamanı sorunları için aşağıdaki adımları doğrulayın:

  1. Zamanlanmış görevin oluşturulduğundan ve Windows Görev Zamanlayıcı'da çalışır durumda olduğundan emin olun.
  1. 2.4. adımda yeni oluşturulan görev için Windows Görev Zamanlayıcı'nın geçmiş sekmesinde görev yürütme hatalarını denetleyin
  1. Zamanlanmış Windows görevi çalışırken SQL Denetim tablosunun yeni kayıtlardan oluştuğundan emin olun.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.