Analizowanie szczegółów i zmian programowania
Usprawnij analizę kryminalistyczną, wyświetlając zdarzenia programowania występujące na urządzeniach sieciowych i analizując wszelkie zmiany kodu przy użyciu czujnika OT. Obserwowanie zdarzeń programowania ułatwia badanie podejrzanych działań programistycznych, takich jak:
- Błąd ludzki: Inżynier programowania nieprawidłowego urządzenia.
- Uszkodzona automatyzacja programowania: błędy programowania spowodowane błędami automatyzacji.
- Systemy zhakowane: nieautoryzowani użytkownicy zalogowali się do urządzenia programistycznego.
Użyj karty Oś czasu programowania na czujniku sieci OT, aby przejrzeć dane programowania, takie jak podczas badania alertu dotyczącego nieautoryzowanego programowania, po planowanej aktualizacji kontrolera lub gdy proces lub maszyna nie działa poprawnie i chcesz zrozumieć, kto dokonał ostatniej aktualizacji i kiedy.
Działania programistyczne wyświetlane na czujnikach OT obejmują zarówno zdarzenia autoryzowane , jak i nieautoryzowane . Autoryzowane zdarzenia są wykonywane przez urządzenia, które są poznane lub ręcznie zdefiniowane jako urządzenia programistyczne. Nieautoryzowane zdarzenia są wykonywane przez urządzenia, które nie zostały poznane ani ręcznie zdefiniowane jako urządzenia programistyczne.
Uwaga
Dane programowania są dostępne dla urządzeń korzystających z protokołów programowania opartego na tekście, takich jak deltaV.
Wymagania wstępne
Aby wykonać procedury opisane w tym artykule, upewnij się, że masz następujące elementy:
Czujnik OT zainstalowany i skonfigurowany z ruchem protokołu programowania opartego na tekście.
Dostęp do czujnika jako osoba przeglądająca, analityk zabezpieczeń lub użytkownik Administracja.
Uzyskiwanie dostępu do danych programowania
Dostęp do karty Oś czasu programowania można uzyskać na stronach Mapa urządzenia, Spis urządzeń i Oś czasu zdarzeń w konsoli czujnika.
Uzyskiwanie dostępu do danych programowania z mapy urządzenia
Zaloguj się do konsoli czujnika OT i wybierz pozycję Mapa urządzenia.
W obszarze Grupy po lewej stronie mapy wybierz pozycję Filtruj>protokoły> OT, wybierz protokół programowania opartego na tekście, taki jak deltaV.
Na mapie kliknij prawym przyciskiem myszy urządzenie, które chcesz przeanalizować, a następnie wybierz oś czasu programowania.
Zostanie otwarta strona szczegółów urządzenia z otwartą kartą Oś czasu programowania .
Uzyskiwanie dostępu do danych programowania z spisu urządzeń
Zaloguj się do konsoli czujnika OT i wybierz pozycję Spis urządzeń.
Przefiltruj spis urządzeń, aby wyświetlić urządzenia przy użyciu protokołów programowania opartych na tekście, takich jak deltaV.
Wybierz urządzenie, które chcesz przeanalizować, a następnie wybierz pozycję Wyświetl pełne szczegóły , aby otworzyć stronę szczegółów urządzenia.
Na stronie szczegółów urządzenia wybierz kartę Oś czasu programowania .
Przykład:
Uzyskiwanie dostępu do danych programowania z osi czasu zdarzenia
Użyj osi czasu zdarzenia, aby wyświetlić oś czasu zdarzeń, w których wykryto zmiany programowania.
Zaloguj się do konsoli czujnika OT i wybierz pozycję Oś czasu zdarzenia.
Filtruj oś czasu zdarzeń dla urządzeń przy użyciu protokołów programowania opartych na tekście, takich jak deltaV.
Wybierz zdarzenie, które chcesz przeanalizować, aby otworzyć okienko szczegółów zdarzenia po prawej stronie, a następnie wybierz pozycję Oś czasu programowania.
Wyświetlanie szczegółów programowania
Karta Oś czasu programowania zawiera szczegółowe informacje o każdym urządzeniu, które zostało zaprogramowane. Wybierz zdarzenie i plik, aby wyświetlić pełne szczegóły programowania po prawej stronie. Na karcie Oś czasu programowania :
Obszar Ostatnie zdarzenia zawiera listę 50 najnowszych zdarzeń wykrytych przez czujnik OT. Zatrzymaj wskaźnik myszy na okresie zdarzenia wybierz gwiazdkę, aby oznaczyć zdarzenie jako ważne zdarzenie.
Obszar Pliki zawiera listę plików programistycznych wykrytych dla wybranego urządzenia. Czujnik OT może wyświetlać maksymalnie 300 plików na urządzenie, gdzie każdy plik ma maksymalny rozmiar 15 MB. Obszar Pliki zawiera listę nazwy i rozmiaru każdego pliku oraz jeden z następujących stanów wskazujący zdarzenie programowania, które wystąpiło:
- Dodano: Plik programowania został dodany do punktu końcowego
- Zaktualizowano: plik programowania został zaktualizowany w punkcie końcowym
- Usunięte: plik programowania został usunięty z punktu końcowego
- Nieznany: Nie wykryto żadnych zmian w pliku programowania
Po otwarciu pliku programowania po prawej stronie urządzenie, które zostało zaprogramowane, jest wymienione jako zaprogramowany zasób. Na urządzeniu może zostać wprowadzonych zmian programistycznych wiele urządzeń. Urządzenia, które dokonały zmian, są wyświetlane jako zasoby programistyczne, a szczegóły obejmują nazwę hosta, kiedy została wprowadzona zmiana, a użytkownik, który został zalogowany na urządzeniu w tym czasie.
Porada
Wybierz przycisk pobierania, aby pobrać kopię aktualnie wyświetlanego pliku programowania.
Przykład:
Porównanie plików szczegółów programowania
W tej procedurze opisano sposób porównywania wielu plików szczegółów programowania w celu identyfikowania rozbieżności lub badania ich pod kątem podejrzanych działań.
Aby porównać pliki:
Otwórz plik programowania z poziomu alertu lub na stronach Mapa urządzenia lub Spis urządzeń .
Po otwarciu pierwszego pliku wybierz przycisk porównaj .
W okienku Porównanie wybierz plik do porównania, wybierając ikonę skalowania w obszarze Akcja obok pliku. Przykład:
Wybrany plik zostanie otwarty w nowym okienku w celu porównania równoległego z pierwszym plikiem. Bieżący plik zainstalowany na zaprogramowanym urządzeniu ma etykietę Bieżąca w górnej części pliku.
Przewiń pliki, aby wyświetlić szczegóły programowania i wszelkie różnice między plikami. Różnice między dwoma plikami są wyróżnione kolorem zielonym i czerwonym.
Następne kroki
Aby uzyskać więcej informacji, zobacz Importowanie informacji o urządzeniu do czujnika.