Conector Automated Logic WebCTRL para Microsoft Sentinel
Puede transmitir los registros de auditoría desde el servidor SQL de WebCTRL hospedado en máquinas Windows conectadas a Microsoft Sentinel. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación. Esto proporciona información sobre los sistemas de control industrial supervisados o controlados por la aplicación WebCTRL BAS.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | Evento (AutomatedLogic-WebCTRL) |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Número total de advertencias y errores generados por la aplicación
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Instrucciones de instalación del proveedor
- Instale e incorpore el agente de Microsoft para Windows.
Obtenga información sobre la configuración del agente y la incorporación de eventos de Windows.
Puede omitir este paso si ya ha instalado el agente de Microsoft para Windows
- Configurar la tarea de Windows para leer los datos de auditoría y escribirlos en eventos de Windows
Instale y configure la tarea programada de Windows para leer los registros de auditoría en SQL y escribirlos como eventos de Windows. El agente recopilará estos eventos de Windows y se reenviarán a Microsoft Sentinel.
Tenga en cuenta que los datos de todas las máquinas se almacenarán en el área de trabajo seleccionada.
2.1 Copie los archivos de instalación en una ubicación del servidor.
2.2 Actualice los parámetros de script de ALC-WebCTRL-AuditPull.ps1 (copiados en el paso anterior), como el nombre de la base de datos de destino y los identificadores de evento de Windows. Consulte los comentarios en el script para obtener más detalles.
2.3 Actualice la configuración de la tarea de Windows en el archivo ALC-WebCTRL-AuditPullTaskConfig.xml que se copió en el paso anterior según los requisitos. Consulte los comentarios en el archivo para obtener más detalles.
2.4 Instale tareas de Windows con las configuraciones actualizadas copiadas en los pasos anteriores
Ejecute el siguiente comando en PowerShell desde el directorio donde se copian los archivos de instalación en el paso 2.1.
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Validación de la conexión
Siga las instrucciones para validar la conectividad:
Abra Log Analytics para comprobar si los registros se reciben con el esquema Event.
La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.
Si no se reciben los registros, valide los pasos siguientes para cualquier problema en tiempo de ejecución:
- Asegúrese de que se crea la tarea programada y está en estado de ejecución en el Programador de tareas de Windows.
- Compruebe si hay errores de ejecución de tareas en la pestaña historial del Programador de tareas de Windows para la tarea recién creada en el paso 2.4
- Asegúrese de que la tabla SQL Audit consta de nuevos registros mientras se ejecuta la tarea de Windows programada.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.