適用於 Microsoft Sentinel 的自動化邏輯 WebCTRL 連接器
您可以從連線至 Microsoft Sentinel 的 Windows 電腦上裝載的 WebCTRL SQL 伺服器,串流稽核記錄。 此連線可讓您檢視儀表板、建立自訂警示及改善調查。 這可讓您深入了解由 WebCTRL BAS 應用程式監視或控制的工業控制系統。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | 事件 (AutomatedLogic-WebCTRL) |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
應用程式所引發的警告和錯誤總計
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
廠商安裝指示
- 安裝 Windows 的 Microsoft 代理程式並使其上線。
了解代理程式設定和 windows 事件上線。
如果您已安裝 Windows 的 Microsoft 代理程式,您可以略過此步驟
- 設定 Windows 工作以讀取稽核資料,並將其寫入 Windows 事件
安裝並設定 Windows 排程工作,以讀取 SQL 中的稽核記錄,並將其寫入為 Windows 事件。 代理程式會收集這些 Windows 事件,並轉送到 Microsoft Sentinel。
請注意,所有機器的資料皆會儲存在選取的工作區中
2.1 將設定檔案複製到伺服器上的位置。
2.2 更新 ALC-WebCTRL-AuditPull.ps1 (已在上述步驟中複製) 指令碼參數,例如目標資料庫名稱和 Windows 事件 ID 的參數。 如需詳細資訊,請參閱指令碼的註解。
2.3 根據需求,在上述步驟中複製的 ALC-WebCTRL-AuditPullTaskConfig.xml 檔案中,更新 Windows 工作設定。 詳情請參閱檔案中的註解。
2.4 使用上述步驟中複製的更新組態,安裝 Windows 工作
從步驟 2.1 中複製設定檔案的目錄,在 powershell 中執行下列命令
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- 驗證連線
請遵循指示以驗證連線能力:
開啟 Log Analytics,檢查是否使用事件結構描述接收記錄。
連線將資料串流至工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請針對任何執行時間問題驗證下列步驟:
- 請確定排程的工作已建立,且在 Windows 工作排程器中處於執行中的狀態。
- 針對步驟 2.4 中的新建工作,請在 Windows 工作排程器中,檢查 [歷程記錄] 分頁的工作執行錯誤
- 請確定 SQL 稽核表格包含排程 Windows 工作執行時的新記錄。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。