Automatiserad Logic WebCTRL-anslutning för Microsoft Sentinel
Du kan strömma granskningsloggarna från WebCTRL SQL-servern som finns på Windows-datorer som är anslutna till Microsoft Sentinel. Med den här anslutningen kan du visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger insikter om dina industriella kontrollsystem som övervakas eller styrs av WebCTRL BAS-programmet.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | Händelse (AutomatedLogic-WebCTRL) |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Totalt antal varningar och fel som genererats av programmet
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Installationsanvisningar för leverantör
- Installera och registrera Microsoft-agenten för Windows.
Läs mer om registrering av agentinstallationer och Windows-händelser.
Du kan hoppa över det här steget om du redan har installerat Microsoft-agenten för Windows
- Konfigurera Windows-uppgift för att läsa granskningsdata och skriva dem till Windows-händelser
Installera och konfigurera den schemalagda Windows-aktiviteten för att läsa granskningsloggarna i SQL och skriva dem som Windows-händelser. Dessa Windows-händelser samlas in av agenten och vidarebefordras till Microsoft Sentinel.
Observera att data från alla datorer lagras på den valda arbetsytan
2.1 Kopiera installationsfilerna till en plats på servern.
2.2 Uppdatera skriptparametrarna ALC-WebCTRL-AuditPull.ps1 (kopieras i ovanstående steg) som måldatabasnamnet och händelse-ID:n för Windows. Mer information finns i kommentarerna i skriptet.
2.3 Uppdatera windows-aktivitetsinställningarna i den ALC-WebCTRL-AuditPullTaskConfig.xml fil som kopierades i ovanstående steg enligt behov. Mer information finns i kommentarer i filen.
2.4 Installera Windows-uppgifter med de uppdaterade konfigurationer som kopieras i stegen ovan
Kör följande kommando i powershell från katalogen där installationsfilerna kopieras i steg 2.1
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Verifiera anslutningen
Följ anvisningarna för att verifiera anslutningen:
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av händelseschemat.
Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.
Om loggarna inte tas emot verifierar du stegen nedan för eventuella körningsproblem:
- Kontrollera att den schemalagda aktiviteten har skapats och är i körningstillstånd i Windows-schemaläggaren.
- Sök efter aktivitetskörningsfel på historikfliken i Windows Task Scheduler för den nyligen skapade aktiviteten i steg 2.4
- Kontrollera att SQL-granskningstabellen består av nya poster medan den schemalagda windows-aktiviteten körs.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.