Analisar detalhes e alterações de programação

Artigo
05/24/2023

Melhore a perícia ao apresentar eventos de programação que ocorrem nos seus dispositivos de rede e analisar quaisquer alterações de código com o sensor OT. Ver eventos de programação ajuda-o a investigar atividades de programação suspeitas, tais como:

Erro humano: um engenheiro a programar o dispositivo errado.
Automatização de programação danificada: erros de programação devido a falhas de automatização.
Sistemas pirateados: utilizadores não autorizados iniciaram sessão num dispositivo de programação.

Utilize o separador Linha Cronológica de Programação no sensor de rede OT para rever os dados de programação, como ao investigar um alerta sobre programação não autorizada, após uma atualização planeada do controlador ou quando um processo ou computador não está a funcionar corretamente e quer compreender quem fez a última atualização e quando.

A atividade de programação apresentada nos sensores OT inclui eventos autorizados e não autorizados . Os eventos autorizados são realizados por dispositivos que são aprendidos ou definidos manualmente como dispositivos de programação. Os eventos não autorizados são realizados por dispositivos que não foram aprendidos ou definidos manualmente como dispositivos de programação.

Nota

Os dados de programação estão disponíveis para dispositivos que utilizam protocolos de programação baseados em texto, como o DeltaV.

Pré-requisitos

Para efetuar os procedimentos neste artigo, certifique-se de que tem:

Um sensor OT instalado e configurado, com tráfego de protocolo de programação baseado em texto.
Acesso ao sensor como Visualizador, Analista de segurança ou utilizador Administração.

Aceder a dados de programação

O separador Linha Cronológica de Programação pode ser acedido a partir das páginas Mapa do dispositivo, Inventário de dispositivos e Linha cronológica do evento na consola do sensor.

Aceder a dados de programação a partir do mapa do dispositivo

Inicie sessão na consola do sensor OT e selecione Mapa do dispositivo.
Na área Grupos à esquerda do mapa, selecione Filtrar>Protocolos> OT, selecione um protocolo de programação baseado em texto, como o DeltaV.
No mapa, clique com o botão direito do rato no dispositivo que pretende analisar e selecione Linha cronológica de programação.

A página de detalhes do dispositivo é aberta com o separador Linha Cronológica de Programação aberto.

Aceder a dados de programação a partir do inventário de dispositivos

Inicie sessão na consola do sensor OT e selecione Inventário de dispositivos.
Filtre o inventário do dispositivo para mostrar dispositivos com protocolos de programação baseados em texto, como o DeltaV.
Selecione o dispositivo que pretende analisar e, em seguida, selecione Ver detalhes completos para abrir a página de detalhes do dispositivo.
Na página de detalhes do dispositivo, selecione o separador Linha Cronológica de Programação .

Por exemplo:

Aceder a dados de programação a partir da linha cronológica do evento

Utilize a linha cronológica do evento para apresentar uma linha cronológica de eventos em que foram detetadas alterações de programação.

Inicie sessão na consola do sensor OT e selecione Linha cronológica do evento.
Filtre a linha cronológica do evento para dispositivos com protocolos de programação baseados em texto, como o DeltaV.
Selecione o evento que pretende analisar para abrir o painel de detalhes do evento à direita e, em seguida, selecione Linha cronológica de programação.

Ver detalhes de programação

O separador Linha Cronológica de Programação mostra detalhes sobre cada dispositivo que foi programado. Selecione um evento e um ficheiro para ver os detalhes de programação completos à direita. No separador Linha Cronológica de Programação :

A área Eventos Recentes lista os 50 eventos mais recentes detetados pelo sensor OT. Paire o cursor sobre um período de eventos, selecione a estrela para marcar o evento como um evento Importante .
A área Ficheiros lista os ficheiros de programação detetados para o dispositivo selecionado. O sensor OT pode apresentar um máximo de 300 ficheiros por dispositivo, em que cada ficheiro tem um tamanho máximo de 15 MB. A área Ficheiros lista o nome e o tamanho de cada ficheiro e um dos seguintes estados para indicar o evento de programação que ocorreu:
- Adicionado: O ficheiro de programação foi adicionado ao ponto final
- Atualizado: o ficheiro de programação foi atualizado no ponto final
- Eliminado: o ficheiro de programação foi removido do ponto final
- Desconhecido: Não foram detetadas alterações ao ficheiro de programação
Quando um ficheiro de programação é aberto à direita, o dispositivo que foi programado é listado como o elemento programado. Vários dispositivos podem ter feito alterações de programação no dispositivo. Os dispositivos que efetuaram alterações são listados como recursos de programação e os detalhes incluem o nome do anfitrião, quando a alteração foi efetuada e o utilizador com sessão iniciada no dispositivo na altura.

Dica

Selecione o botão transferir para transferir uma cópia do ficheiro de programação atualmente apresentado.

Por exemplo:

Comparar ficheiros de detalhes de programação

Este procedimento descreve como comparar vários ficheiros de detalhes de programação para identificar discrepâncias ou investigá-los para atividades suspeitas.

Para comparar ficheiros:

Abra um ficheiro de programação a partir de um alerta ou a partir das páginas Mapa do dispositivo ou Inventário de dispositivos .
Com o primeiro ficheiro aberto, selecione o botão comparar .
No painel Comparar , selecione um ficheiro para comparação ao selecionar o ícone de escala em Ação junto ao ficheiro. Por exemplo:

O ficheiro selecionado é aberto num novo painel para uma comparação lado a lado com o primeiro ficheiro. O ficheiro atual instalado no dispositivo programado está etiquetado Como Atual na parte superior do ficheiro.

Percorra os ficheiros para ver os detalhes de programação e quaisquer diferenças entre os ficheiros. As diferenças entre os dois ficheiros estão realçadas a verde e vermelho.