Анализ деталей и изменений программирования
Улучшение судебной экспертизы путем отображения событий программирования, происходящих на сетевых устройствах, и анализа любых изменений кода с помощью датчика OT. Наблюдение за событиями программирования помогает исследовать подозрительные действия программирования, такие как:
- Человеческая ошибка: инженер, программируя неправильное устройство.
- Поврежденная автоматизация программирования. Ошибки программирования из-за сбоев автоматизации.
- Взломанные системы: неавторизованные пользователи вошли в программное устройство.
Используйте вкладку Временная шкала программирования на сетевом датчике OT, чтобы просмотреть данные программирования, например при изучении оповещения о несанкционированном программировании, после запланированного обновления контроллера или когда процесс или компьютер работает неправильно, и вы хотите понять, кто и когда сделал последнее обновление.
Действия программирования, отображаемые на датчиках OT, включают как авторизованные , так и несанкционированные события. Авторизованные события выполняются устройствами, которые либо изучены, либо вручную определены как программные устройства. Несанкционированные события выполняются устройствами, которые не были изучены или не определены вручную как программные устройства.
Примечание
Данные программирования доступны для устройств, использующих протоколы программирования на основе текста, такие как DeltaV.
Предварительные требования
Для выполнения процедур, описанных в этой статье, убедитесь, что у вас есть:
Установленный и настроенный датчик OT с трафиком протокола программирования на основе текста.
Доступ к датчику в качестве зрителя, аналитика безопасности или Администратор пользователя.
Доступ к данным программирования
Вкладку Временная шкала программирования можно открыть на страницах Карта устройств, Инвентаризация устройств и Временная шкала событий в консоли датчика.
Доступ к данным программирования на карте устройства
Войдите в консоль датчика OT и выберите Карта устройств.
В области Группы слева от карты выберите Фильтровать>протоколы> OT выберите текстовый протокол программирования, например DeltaV.
На карте щелкните правой кнопкой мыши устройство, которое требуется проанализировать, и выберите пункт Программирование временной шкалы.
Откроется страница сведений об устройстве с открытой вкладкой "Временная шкала программирования ".
Доступ к данным программирования из инвентаризации устройств
Войдите в консоль датчика OT и выберите Инвентаризация устройств.
Отфильтруйте данные инвентаризации устройств, чтобы отобразить устройства с использованием протоколов программирования на основе текста, таких как DeltaV.
Выберите устройство, которое требуется проанализировать, а затем щелкните Просмотреть полные сведения , чтобы открыть страницу сведений об устройстве.
На странице сведений об устройстве выберите вкладку Временная шкала программирования .
Пример:
Доступ к данным программирования из временной шкалы событий
Используйте временную шкалу событий, чтобы отобразить временную шкалу событий, в которых были обнаружены программные изменения.
Войдите в консоль датчика OT и выберите Временная шкала событий.
Фильтрация временной шкалы событий для устройств с помощью протоколов программирования на основе текста, таких как DeltaV.
Выберите событие, которое требуется проанализировать, чтобы открыть область сведений о событии справа, а затем выберите Временная шкала программирования.
Просмотр сведений о программировании
На вкладке Временная шкала программирования отображаются сведения о каждом запрограммированном устройстве. Выберите событие и файл, чтобы просмотреть полные сведения о программировании справа. На вкладке Временная шкала программирования :
В области Последние события перечислены 50 последних событий, обнаруженных датчиком OT. Наведите указатель мыши на период события, выберите звездочку, чтобы пометить событие как важное событие.
В области Файлы перечислены программные файлы, обнаруженные для выбранного устройства. Датчик OT может отображать не более 300 файлов на устройство, где каждый файл имеет максимальный размер 15 МБ. В области Файлы перечислены имя и размер каждого файла, а также одно из следующих состояний для указания события программирования, которое произошло:
- Добавлено: файл программирования был добавлен в конечную точку.
- Обновлено: файл программирования обновлен в конечной точке.
- Удалено: файл программирования удален из конечной точки.
- Неизвестно: для файла программирования не обнаружено никаких изменений.
При открытии файла программирования справа запрограммированное устройство указывается в качестве запрограммированного ресурса. Возможно, на устройстве были внесены изменения в программирование на нескольких устройствах. Устройства, которые внесли изменения, перечислены в качестве программных ресурсов, а сведения включают имя узла, время внесения изменения и пользователя, выполнившего вход на устройство в то время.
Совет
Нажмите кнопку скачивания, чтобы скачать копию текущего файла программирования.
Пример:
Сравнение файлов сведений о программировании
В этой процедуре описывается, как сравнить несколько файлов сведений о программировании, чтобы выявить несоответствия или исследовать их на предмет подозрительной активности.
Чтобы сравнить файлы, выполните приведенные ниже действия.
Откройте файл программирования из оповещения или на страницах Карта устройств или Инвентаризация устройств .
Открыв первый файл, нажмите кнопку сравнить .
В области Сравнение выберите файл для сравнения, щелкнув значок масштабирования в разделе Действие рядом с файлом. Пример:
Выбранный файл откроется в новой области для параллельного сравнения с первым файлом. Текущий файл, установленный на запрограммированном устройстве, помечается как Текущий в верхней части файла.
Прокрутите файлы, чтобы просмотреть сведения о программировании и различия между файлами. Различия между двумя файлами выделены зеленым и красным цветом.
Дальнейшие действия
Дополнительные сведения см. в статье об импорте сведений об устройстве в датчик.