Delen via

Geautomatiseerde Logic WebCTRL-connector voor Microsoft Sentinel

  • Artikel

U kunt de auditlogboeken streamen van de WebCTRL SQL-server die wordt gehost op Windows-computers die zijn verbonden met uw Microsoft Sentinel. Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft inzicht in uw industriële controlesystemen die worden bewaakt of beheerd door de WebCTRL BAS-toepassing.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen Gebeurtenis (AutomatedLogic-WebCTRL)
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Microsoft Corporation

Voorbeelden van query's

Totaal aantal waarschuwingen en fouten die door de toepassing zijn gegenereerd

Event

| where Source == "ALCWebCTRL"

| where EventLevel in (1,2,3)

Installatie-instructies van leverancier

  1. Installeer en onboard de Microsoft-agent voor Windows.

Meer informatie over het instellen van agents en het onboarden van Windows-gebeurtenissen.

U kunt deze stap overslaan als u de Microsoft-agent voor Windows al hebt geïnstalleerd

  1. Windows-taak configureren om de controlegegevens te lezen en naar Windows-gebeurtenissen te schrijven

Installeer en configureer de geplande Windows-taak om de auditlogboeken in SQL te lezen en te schrijven als Windows-gebeurtenissen. Deze Windows-gebeurtenissen worden verzameld door de agent en doorgestuurd naar Microsoft Sentinel.

U ziet dat de gegevens van alle computers worden opgeslagen in de geselecteerde werkruimte

2.1 Kopieer de installatiebestanden naar een locatie op de server.

2.2 Werk de scriptparameters van het ALC-WebCTRL-AuditPull.ps1 (gekopieerd in de bovenstaande stap) bij, zoals de naam van de doeldatabase en windows-gebeurtenis-id's. Raadpleeg opmerkingen in het script voor meer informatie.

2.3 Werk de windows-taakinstellingen bij in het ALC-WebCTRL-AuditPullTaskConfig.xml-bestand dat in de bovenstaande stap is gekopieerd op basis van de vereiste. Raadpleeg opmerkingen in het bestand voor meer informatie.

2.4 Windows-taken installeren met behulp van de bijgewerkte configuraties die in de bovenstaande stappen zijn gekopieerd

Voer de volgende opdracht uit in PowerShell vanuit de map waarin de installatiebestanden worden gekopieerd in stap 2.1

schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"

  1. Verbinding valideren

Volg de instructies om uw connectiviteit te valideren:

Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het gebeurtenisschema.

Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.

Als de logboeken niet worden ontvangen, valideert u de onderstaande stappen voor eventuele runtimeproblemen:

  1. Zorg ervoor dat de geplande taak is gemaakt en actief is in de Windows Task Scheduler.
  1. Controleren op taakuitvoeringsfouten op het tabblad Geschiedenis in Windows Task Scheduler voor de zojuist gemaakte taak in stap 2.4
  1. Zorg ervoor dat de SQL-audittabel nieuwe records bevat terwijl de geplande Windows-taak wordt uitgevoerd.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.