Sdílet prostřednictvím

Analýza podrobností o programování a změn

  • Článek

Vylepšete forenzní práci zobrazením programovacích událostí, ke kterým dochází na síťových zařízeních, a analýzou všech změn kódu pomocí senzoru OT. Sledování událostí programování vám pomůže prozkoumat podezřelé programovací aktivity, jako jsou:

  • Lidská chyba: Inženýr naprogramuje nesprávné zařízení.
  • Poškozená automatizace programování: Chyby programování způsobené selháním automatizace.
  • Napadené systémy: K programovacímu zařízení se přihlásili neoprávnění uživatelé.

Na kartě Časová osa programování na síťovém senzoru OT můžete zkontrolovat programovací data, například při vyšetřování výstrahy o neoprávněném programování, po plánované aktualizaci kontroleru nebo když proces nebo počítač nefunguje správně a chcete zjistit, kdo a kdy provedl poslední aktualizaci.

Programovací aktivita zobrazená na senzorech OT zahrnuje autorizované i neoprávněné události. Autorizované události provádějí zařízení, která jsou buď naučená, nebo jsou ručně definovaná jako programovací zařízení. Neautorizované události jsou prováděny zařízeními, která nebyla naučena nebo ručně definována jako programovací zařízení.

Poznámka

Programovací data jsou k dispozici pro zařízení, která používají textové programovací protokoly, jako je DeltaV.

Požadavky

Pokud chcete provést postupy v tomto článku, ujistěte se, že máte následující:

  • Nainstalovaný a nakonfigurovaný senzor OT s textovým provozem založeným na programovacím protokolu.

  • Přístup k senzoru jako čtenář, analytik zabezpečení nebo Správa uživatel.

Přístup k programovacím datům

Karta Časová osa programování je přístupná ze stránek Mapa zařízení, Inventář zařízení a Časová osa událostí v konzole senzoru.

Přístup k programovacím datům z mapy zařízení

  1. Přihlaste se ke konzole senzoru OT a vyberte Mapa zařízení.

  2. V oblasti Skupiny nalevo od mapy vyberte Filtrovat>protokoly> OT a vyberte textový programovací protokol, například DeltaV.

  3. Na mapě klikněte pravým tlačítkem na zařízení, které chcete analyzovat, a vyberte Programování časové osy.

    Snímek obrazovky s možností naprogramování časové osy z mapy zařízení

    Otevře se stránka s podrobnostmi o zařízení s otevřenou kartou Časová osa programování .

Přístup k programovacím datům z inventáře zařízení

  1. Přihlaste se ke konzole senzoru OT a vyberte Inventář zařízení.

  2. Vyfiltrujte inventář zařízení a zobrazte zařízení pomocí textových programovacích protokolů, jako je DeltaV.

  3. Vyberte zařízení, které chcete analyzovat, a pak výběrem možnosti Zobrazit úplné podrobnosti otevřete stránku s podrobnostmi o zařízení.

  4. Na stránce s podrobnostmi o zařízení vyberte kartu Programování časové osy .

    Příklad:

    Snímek obrazovky s kartou časová osa programování na stránce s podrobnostmi o zařízení

Přístup k programovacím datům z časové osy události

Pomocí časové osy událostí můžete zobrazit časovou osu událostí, ve kterých byly zjištěny programové změny.

  1. Přihlaste se ke konzole senzoru OT a vyberte Časová osa událostí.

  2. Filtrujte časovou osu událostí pro zařízení pomocí textových programovacích protokolů, jako je DeltaV.

  3. Vyberte událost, kterou chcete analyzovat, a na pravé straně otevřete podokno podrobností události a pak vyberte Programování časové osy.

Zobrazení podrobností o programování

Karta Časová osa programování zobrazuje podrobnosti o každém naprogramovaném zařízení. Výběrem události a souboru zobrazíte úplné podrobnosti o programování na pravé straně. Na kartě Časová osa programování :

  • Oblast Poslední události obsahuje seznam 50 nejnovějších událostí zjištěných senzorem OT. Když najedete myší na období události, vyberte hvězdičku a označíte událost jako důležitou událost.

  • Oblast Soubory obsahuje seznam programovacích souborů zjištěných pro vybrané zařízení. Senzor OT může zobrazit maximálně 300 souborů na zařízení, přičemž každý soubor má maximální velikost 15 MB. Oblast Soubory obsahuje název a velikost jednotlivých souborů a jeden z následujících stavů, které označují událost programování, ke které došlo:

    • Přidáno: Programovací soubor se přidal do koncového bodu.
    • Aktualizováno: V koncovém bodu se aktualizoval programovací soubor.
    • Odstraněno: Z koncového bodu se odebral programovací soubor.
    • Neznámé: Nebyly zjištěny žádné změny pro programovací soubor.

  • Při otevření programovacího souboru na pravé straně je naprogramované zařízení uvedeno jako naprogramované aktivum. Více zařízení mohlo na zařízení provést změny v programování. Zařízení, která udělala změny, jsou uvedena jako programovací prostředky a podrobnosti zahrnují název hostitele, kdy byla změna provedena, a uživatele, který byl v danou chvíli přihlášen k zařízení.

Tip

Výběrem tlačítka pro stažení stáhněte kopii aktuálně zobrazeného programovacího souboru.

Příklad:

Snímek obrazovky se zobrazením podrobností o programování na časové ose programování

Porovnání podrobných souborů programování

Tento postup popisuje, jak porovnat více souborů s podrobnostmi o programování za účelem identifikace nesrovnalostí nebo jejich zkoumání podezřelých aktivit.

Porovnání souborů:

  1. Otevřete programovací soubor z výstrahy nebo ze stránek Mapa zařízení nebo Inventář zařízení .

  2. Když máte otevřený první soubor, vyberte tlačítko porovnat .

  3. V podokně Porovnat vyberte soubor pro porovnání tak, že vyberete ikonu měřítka v části Akce vedle souboru. Příklad:

    Snímek obrazovky s podoknem porovnání souborů

    Vybraný soubor se otevře v novém podokně pro souběžné porovnání s prvním souborem. Aktuální soubor nainstalovaný na naprogramovaném zařízení je v horní části souboru označen jako Aktuální .

    Snímek obrazovky s porovnáním programovacích souborů vedle sebe

    Projděte si soubory a podívejte se na podrobnosti o programování a případné rozdíly mezi soubory. Rozdíly mezi těmito dvěma soubory jsou zvýrazněné zeleně a červeně.

Další kroky

Další informace najdete v tématu Import informací o zařízení do senzoru.