Analisar detalhes e alterações de programação

Aprimore a análise forense exibindo eventos de programação que ocorrem em seus dispositivos de rede e analisando as alterações de código usando o sensor de OT. Assistir a eventos de programação ajuda você a investigar atividades de programação suspeitas, como:

• Erro humano: um engenheiro programa o dispositivo errado.
• Automação de programação corrompida: erros de programação devido a falhas de automação.
• Sistema invadidos: usuários não autorizados conectados a um dispositivo de programação.

Use a guia Linha do Tempo de Programação no sensor de rede de OT para examinar dados de programação, como ao investigar um alerta sobre programação não autorizada, após uma atualização do controlador planejada ou quando um processo ou computador não está funcionando corretamente e você deseja saber quem fez a última atualização e quando.

A atividade de programação mostrada nos sensores de OT inclui eventos autorizados e não autorizados. Os eventos autorizados são executados por dispositivos aprendidos ou definidos manualmente como dispositivos de programação. Os eventos não autorizados são executados por dispositivos que não foram aprendidos ou definidos manualmente como dispositivos de programação.

Observação

Os dados de programação estão disponíveis para dispositivos que usam protocolos de programação baseados em texto, como DeltaV.

Pré-requisitos

Antes de executar os procedimentos neste artigo, verifique se você tem:

• Um sensor de OT instalado e configurado, com tráfego de protocolo de programação baseado em texto.

• Acesso ao sensor como Visualizador, Analista de segurança ou usuário Administrador.

Acessar dados de programação

A guia Linha do Tempo de Programação pode ser acessada nas páginas Mapa do dispositivo, Inventário do dispositivos e Linha do tempo do evento no console do sensor.

Acessar dados de programação a partir do mapa do dispositivo

1. Entre no console do sensor de OT e selecione Mapa do dispositivo.

2. Na área Grupos à esquerda do mapa, selecione Filtrar>Protocolos de OT>, selecione um protocolo de programação baseado em texto, como DeltaV.

3. No mapa, clique com o botão direito do mouse no dispositivo que você deseja analisar e selecione Linha do tempo de programação.

   

   Abre-se a página de detalhes do dispositivo com a guia Linha do Tempo de Programação aberta.

Acessar dados de programação a partir do inventário de dispositivos

1. Entre no console do sensor de OT e selecione Inventário de dispositivos.

2. Filtre o inventário de dispositivos para mostrar dispositivos usando protocolos de programação baseados em texto, como DeltaV.

3. Selecione o dispositivos que deseja analisar e, em seguida, selecione Exibir detalhes completos para abrir a página de detalhes do dispositivo.

4. Na página de detalhes do dispositivo, selecione a guia Linha do Tempo de Programação.

   Por exemplo:

   

Acessar dados de programação a partir da linha do tempo do evento

Use-a para exibir uma linha do tempo de eventos nos quais as alterações de programação foram detectadas.

1. Entre no console do sensor de OT e selecione Linha do tempo do evento.

2. Filtre a linha do tempo do evento por dispositivos usando protocolos de programação baseados em texto, como DeltaV.

3. Selecione o evento que deseja analisar para abrir o painel de detalhes do evento à direita e selecione Linha do tempo de programação.

Exibir detalhes de programação

A guia Linha do Tempo de Programação mostra detalhes sobre cada dispositivo que foi programado. Selecione um evento e um arquivo para exibir detalhes completos de programação à direita. Na guia Linha do Tempo de Programação:

• A área Eventos Recentes lista os 50 eventos mais recentes detectados pelo sensor de OT. Passe o mouse sobre um período de evento, selecione a estrela para marcar o evento como um evento Importante.

• A área Arquivos lista os arquivos de programação detectados para o dispositivo selecionado. O sensor de OT pode exibir no máximo 300 arquivos por dispositivo, em que cada arquivo tem um tamanho máximo de 15 MB. A área Arquivos lista o nome e o tamanho de cada arquivo e um dos seguintes status para indicar o evento de programação que ocorreu:

  • Adicionado: o arquivo de programação foi adicionado ao ponto de extremidade
  • Atualizado: o arquivo de programação foi atualizado no ponto de extremidade
  • Excluído: o arquivo de programação foi removido do ponto de extremidade
  • Desconhecido: nenhuma alteração foi detectada no arquivo de programação

• Quando um arquivo de programação é aberto à direita, o dispositivo que foi programado é listado como o ativo programado. Vários dispositivos podem ter feito alterações de programação no dispositivo. Os dispositivos que fizeram alterações são listados como os ativos de programação e os detalhes incluem o nome do host, quando a alteração foi realizada e o usuário que estava conectado ao dispositivo na época.

Dica

Selecione o botão baixar para baixar uma cópia do arquivo de programação exibido no momento.

Por exemplo:

Comparar arquivos de detalhes de programação

Este procedimento descreve como comparar vários arquivos de detalhes de programação para identificar discrepâncias ou investigá-los quanto a atividades suspeitas.

Para comparar arquivos:

1. Abra um arquivo de programação de um alerta ou das páginas Mapa do dispositivo ou Inventário de dispositivos.

2. Com o primeiro arquivo aberto, selecione o botão comparar .

3. No painel Comparar, selecione um arquivo para comparação selecionando o ícone de escala em Ação ao lado do arquivo. Por exemplo:

   

   O arquivo selecionado é aberto em um novo painel para comparação lado a lado com o primeiro arquivo. O arquivo atual instalado no dispositivo programado é rotulado como Atual na parte superior do arquivo.

   

   Percorra os arquivos para ver os detalhes de programação e as diferenças entre os arquivos. As diferenças entre os dois arquivos são realçadas em verde e vermelho.

Próximas etapas

Para obter mais informações, consulte Importar informações do dispositivo para um sensor.