適用於 Microsoft Sentinel 的自動化邏輯 WebCTRL 連接器
您可以從連線至 Microsoft Sentinel 的 Windows 計算機上裝載的 WebCTRL SQL 伺服器串流稽核記錄。 此連線可讓您檢視儀錶板、建立自定義警示及改善調查。 這可讓您深入瞭解由 WebCTRL BAS 應用程式監視或控制的工業控制系統。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | 事件 (AutomatedLogic-WebCTRL) |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
應用程式引發的警告和錯誤總數
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
廠商安裝指示
- 安裝並上線適用於 Windows 的 Microsoft 代理程式。
瞭解 代理程式設定 和 Windows 事件上線。
如果您已安裝適用於 Windows 的 Microsoft 代理程式,則可以略過此步驟
- 設定 Windows 工作以讀取稽核數據,並將其寫入 Windows 事件
安裝並設定 Windows 排程工作,以讀取 SQL 中的稽核記錄,並將其寫入為 Windows 事件。 代理程式會收集這些 Windows 事件,並轉送到 Microsoft Sentinel。
請注意,來自所有計算機的數據都會儲存在選取的工作區中
2.1 將 安裝程式檔案 複製到伺服器上的位置。
2.2 更新 ALC-WebCTRL-AuditPull.ps1 (在上述步驟中複製)腳本參數,例如目標資料庫名稱和 Windows 事件標識符。 如需詳細資訊,請參閱腳本中的批註。
2.3 根據需求,更新在上述步驟中複製之ALC-WebCTRL-AuditPullTaskConfig.xml檔案中的 Windows 工作設定。 如需詳細資訊,請參閱 檔案中的批注。
2.4 使用上述步驟中複製的更新組態安裝 Windows 工作
從步驟 2.1 中複製安裝程式檔案的目錄,在 powershell 中執行下列命令
schtasks.exe /create /XML “ALC-WebCTRL-AuditPullTaskConfig.xml” /tn “ALC-WebCTRL-AuditPull”
- 驗證連線
請遵循指示來驗證您的連線能力:
開啟 Log Analytics 以檢查記錄是否使用事件架構接收。
線上將數據串流至您的工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請針對任何運行時間問題驗證下列步驟:
- 請確定已建立排程的工作,且處於 Windows 工作排程器中的執行中狀態。
- 檢查 Windows 工作排程器中 [歷程記錄] 索引卷標中的工作執行錯誤,以取得步驟 2.4 中新建立的工作
- 請確定 SQL 稽核數據表包含排程視窗工作執行時的新記錄。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。