Conector do Automated Logic WebCTRL para Microsoft Sentinel
Você pode transmitir os logs de auditoria do WebCTRL SQL server hospedado em computadores Windows conectados ao Microsoft Sentinel. Essa conexão permite ver painéis, criar alertas personalizados e aprimorar a investigação. Isso fornece insights sobre os Sistemas de Controle Industrial que são monitorados ou controlados pelo aplicativo WebCTRL BAS.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Evento (AutomatedLogic-WebCTRL) |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Total de avisos e erros gerados pelo aplicativo
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
Instruções de instalação do fornecedor
- Instalar e integrar o Agente da Microsoft para Windows.
Saiba mais sobre a instalação do agente e a integração de eventos do Windows.
Você pode ignorar esta etapa se já tiver instalado o agente da Microsoft para Windows
- Configurar a tarefa do Windows para ler os dados de auditoria e gravá-los para eventos do Windows
Instale e configure a Tarefa Agendada do Windows para ler os logs de auditoria no SQL e gravá-los como Eventos do Windows. Esses Eventos do Windows serão coletados pelo agente e encaminhados para o Microsoft Sentinel.
Observe que os dados de todos os computadores serão armazenados no workspace selecionado
2.1 Copie os arquivos de instalação em um local no servidor.
2.2 Atualize os parâmetros de script ALC-WebCTRL-AuditPull.ps1 (copiados na etapa acima), como o nome do banco de dados de destino e as IDs de evento do Windows. Confira os comentários no script para obter mais detalhes.
2.3 Atualize as configurações de tarefa do Windows no arquivo ALC-WebCTRL-AuditPullTaskConfig.xml que foi copiado na etapa acima de acordo conforme o requisito. Confira os comentários no arquivo para obter mais detalhes.
2.4 Instalar tarefas do Windows usando as configurações atualizadas copiadas nas etapas acima
Execute o comando a seguir no PowerShell no diretório em que os arquivos de instalação foram copiados na etapa 2.1
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- Validar conexão
Siga as instruções para validar a conectividade:
Abra o Log Analytics para verificar se os logs foram recebidos usando o esquema de evento.
Pode demorar cerca de 20 minutos até que a conexão transmita dados para o workspace.
Se os logs não foram recebidos, valide as etapas abaixo para ver se há problemas de tempo de execução:
- Verifique se a tarefa agendada foi criada e está em estado de execução no Agendador de Tarefas do Windows.
- Verifique se há erros de execução de tarefa na guia de histórico no Agendador de Tarefas do Windows para a tarefa recém-criada na etapa 2.4
- Verifique se a tabela Auditoria do SQL consiste em novos registros enquanto a tarefa agendada do Windows é executada.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.