Analyser les détails et modifications de programmation
Améliorez la forensique en affichant les événements de programmation qui se produisent sur vos périphériques réseau et en analysant les modifications de code à l’aide du capteur OT. La surveillance des événements de programmation vous permet d’examiner les activités de programmation suspectes, telles que :
- Erreur humaine : Un ingénieur programme le mauvais appareil.
- Automatisation de programmation endommagée : erreurs de programmation dues à des échecs d’automatisation.
- Systèmes piratés : Utilisateurs non autorisés connectés à un appareil de programmation.
Utilisez l’onglet Chronologie de programmation de votre capteur réseau OT pour passer en revue les données de programmation, par exemple lors de l’examen d’une alerte concernant une programmation non autorisée, après une mise à jour planifiée du contrôleur, ou lorsqu’un processus ou une machine ne fonctionne pas correctement et que vous souhaitez comprendre qui a effectué la dernière mise à jour et quand.
L’activité de programmation affichée sur les capteurs OT inclut des événements autorisés et non autorisés . Les événements autorisés sont effectués par des appareils appris ou définis manuellement en tant qu’appareils de programmation. Les événements autorisés sont effectués par des appareils qui n’ont pas été découverts ou définis manuellement comme appareils de programmation.
Notes
Les données de programmation sont disponibles pour les appareils qui utilisent des protocoles de programmation textuels, tels que DeltaV.
Prérequis
Pour effectuer les procédures décrites dans cet article, vérifiez que vous avez bien :
Un capteur OT installé et configuré, avec le trafic du protocole de programmation textuel.
Accès au capteur en tant que visionneuse, analyste de sécurité ou utilisateur administrateur.
Accès aux données de programmation
L’onglet Chronologie de programmation est accessible à partir des pages Carte des appareils, Inventaire des appareils et Chronologie des événements de la console du capteur.
Accéder aux données de programmation à partir de la carte des appareils
Connectez-vous à la console du capteur OT et sélectionnez Carte de l’appareil.
Dans la zone Groupes à gauche de la carte, sélectionnez Filtrer> lesprotocoles OT>, sélectionnez un protocole de programmation textuel, tel que DeltaV.
Dans la carte, cliquez avec le bouton droit sur l’appareil que vous souhaitez analyser, puis sélectionnez Chronologie de programmation.
La page des détails de l’appareil s’ouvre avec l’onglet Chronologie de programmation ouvert.
Accéder aux données de programmation à partir de l’inventaire des appareils
Connectez-vous à la console du capteur OT et sélectionnez Inventaire des appareils.
Filtrez l’inventaire des appareils pour afficher les appareils à l’aide de protocoles de programmation textuels, tels que DeltaV.
Sélectionnez un appareil à analyser, puis sélectionnez Afficher tous les détails pour ouvrir la page des détails de l’appareil.
Dans la page des détails de l’appareil, sélectionnez l’onglet Chronologie de programmation.
Par exemple :
Accéder aux données de programmation à partir de la chronologie des événements
Utilisez la chronologie des événements pour afficher une chronologie des événements dans lesquels des modifications de programmation ont été détectées.
Connectez-vous à la console du capteur OT et sélectionnez Chronologie des événements.
Filtrez la chronologie des événements pour les appareils utilisant des protocoles de programmation textuels, tels que DeltaV.
Sélectionnez l’événement que vous souhaitez analyser pour ouvrir le volet Détails de l’événement à droite, puis sélectionnez Chronologie de programmation.
Afficher les détails de programmation
L’onglet Chronologie de programmation affiche des détails sur chaque appareil qui a été programmé. Sélectionnez un événement et un fichier pour afficher les détails complets de la programmation à droite. Sous l’onglet Chronologie de programmation :
La zone Événements récents répertorie les 50 événements les plus récents détectés par le capteur OT. Pointez sur une période d’événement, sélectionnez l’étoile pour marquer l’événement comme événement Important.
La zone Fichiers répertorie les fichiers de programmation détectés pour l’appareil sélectionné. Le capteur OT peut afficher un maximum de 300 fichiers par appareil, où chaque fichier a une taille maximale de 15 Mo. La zone Fichiers répertorie le nom et la taille de chaque fichier, ainsi que l’un des états suivants pour indiquer l’événement de programmation qui s’est produit :
- Ajouté : le fichier de programmation a été ajouté au point de terminaison
- Mise à jour : le fichier de programmation a été mis à jour sur le point de terminaison
- Supprimé : le fichier de programmation a été supprimé du point de terminaison
- Inconnu : aucune modification n’a été détectée pour le fichier de programmation
Lorsqu’un fichier de programmation est ouvert à droite, l’appareil qui a été programmé est répertorié en tant que ressource programmée. Il est possible que plusieurs appareils aient apporté des modifications de programmation au périphérique. Les appareils qui ont apporté des modifications sont répertoriés en tant que ressources de programmation, et les détails incluent le nom d’hôte, le moment où la modification a été apportée et l’utilisateur qui était connecté à l’appareil à ce moment-là.
Conseil
Sélectionnez le bouton de téléchargement pour télécharger une copie du fichier de programmation qui s’affiche actuellement.
Par exemple :
Comparer les fichiers de détails de programmation
Cette procédure décrit comment comparer plusieurs fichiers de détails de programmation pour identifier les écarts ou les examiner afin de trouver des activités suspectes.
Pour comparer des fichiers :
Ouvrez un fichier de programmation à partir d’une alerte ou des pages Carte des appareils ou Inventaire des appareils.
Une fois votre premier fichier ouvert, sélectionnez le bouton Comparer .
Dans le volet Comparer, sélectionnez un fichier à comparer en sélectionnant l’icône de mise à l’échelle sous Action à côté du fichier. Par exemple :
Le fichier sélectionné s’ouvre dans un nouveau volet pour la comparaison côte à côte avec le premier fichier. Le fichier actuel installé sur l’appareil programmé est intitulé Actuel en haut du fichier.
Faites défiler les fichiers pour voir les détails de la programmation et les différences entre les fichiers. Les différences entre les deux fichiers sont mises en surbrillance en vert et en rouge.
Étapes suivantes
Pour plus d’informations, consultez Importer des informations d’appareil sur un capteur.