Dela via

Analysera programmeringsinformation och ändringar

  • Artikel

Förbättra kriminaltekniken genom att visa programmeringshändelser som inträffar på dina nätverksenheter och analysera eventuella kodändringar med hjälp av OT-sensorn. När du tittar på programmeringshändelser kan du undersöka misstänkt programmeringsaktivitet, till exempel:

  • Mänskligt fel: En tekniker programmerar fel enhet.
  • Skadad programmeringsautomatisering: Programmeringsfel på grund av automatiseringsfel.
  • Hackade system: Obehöriga användare loggade in på en programmeringsenhet.

Använd fliken Programmeringstidslinje på din OT-nätverkssensor för att granska programmeringsdata, till exempel när du undersöker en avisering om obehörig programmering, efter en planerad kontrollantuppdatering eller när en process eller dator inte fungerar korrekt och du vill förstå vem som gjorde den senaste uppdateringen och när.

Programmeringsaktiviteten som visas på OT-sensorer omfattar både auktoriserade och obehöriga händelser. Auktoriserade händelser utförs av enheter som antingen är inlärda eller manuellt definierade som programmeringsenheter. Obehöriga händelser utförs av enheter som inte har lärts in eller definierats manuellt som programmeringsenheter.

Anteckning

Programmeringsdata är tillgängliga för enheter som använder textbaserade programmeringsprotokoll, till exempel DeltaV.

Förutsättningar

Kontrollera att du har följande för att utföra procedurerna i den här artikeln:

  • En OT-sensor installerad och konfigurerad med textbaserad programmeringsprotokolltrafik.

  • Åtkomst till sensorn som läsare, säkerhetsanalytiker eller Admin användare.

Komma åt programmeringsdata

Fliken Tidslinje för programmering kan nås från sidorna Enhetskarta, Enhetsinventering och Händelsetidslinje i sensorkonsolen.

Komma åt programmeringsdata från enhetskartan

  1. Logga in på OT-sensorkonsolen och välj Enhetskarta.

  2. I området Grupper till vänster på kartan väljer du Filtrera> OT-protokoll och väljer ett textbaseratprogrammeringsprotokoll>, till exempel DeltaV.

  3. Högerklicka på den enhet som du vill analysera på kartan och välj Tidslinje för programmering.

    Skärmbild av tidslinjealternativet för programmering från enhetskartan.

    Sidan med enhetsinformation öppnas med fliken Programmeringstidslinje öppen.

Få åtkomst till programmeringsdata från enhetsinventeringen

  1. Logga in på OT-sensorkonsolen och välj Enhetsinventering.

  2. Filtrera enhetsinventeringen för att visa enheter med hjälp av textbaserade programmeringsprotokoll, till exempel DeltaV.

  3. Välj den enhet som du vill analysera och välj sedan Visa fullständig information för att öppna sidan med enhetsinformation.

  4. På sidan enhetsinformation väljer du fliken Programmeringstidslinje .

    Exempel:

    Skärmbild av fliken för programmeringstidslinje på sidan med enhetsinformation.

Komma åt programmeringsdata från händelsetidslinjen

Använd händelsetidslinjen för att visa en tidslinje med händelser där programmeringsändringar har identifierats.

  1. Logga in på OT-sensorkonsolen och välj Händelsetidslinje.

  2. Filtrera händelsetidslinjen för enheter med hjälp av textbaserade programmeringsprotokoll, till exempel DeltaV.

  3. Välj den händelse som du vill analysera för att öppna händelseinformationsfönstret till höger och välj sedan Tidslinje för programmering.

Visa programmeringsinformation

Fliken Tidslinje för programmering visar information om varje enhet som har programmerats. Välj en händelse och en fil för att visa fullständig programmeringsinformation till höger. På fliken Programmeringstidslinje :

  • Området Senaste händelser visar de 50 senaste händelserna som identifierats av OT-sensorn. Hovra över en händelseperiod och välj stjärnan för att markera händelsen som en viktig händelse.

  • Området Filer visar programmeringsfiler som identifierats för den valda enheten. OT-sensorn kan visa högst 300 filer per enhet, där varje fil har en maximal storlek på 15 MB. Området Filer visar varje fils namn och storlek och en av följande statusar för att ange den programmeringshändelse som inträffade:

    • Tillagd: Programmeringsfilen lades till i slutpunkten
    • Uppdaterad: Programmeringsfilen uppdaterades på slutpunkten
    • Borttagen: Programmeringsfilen togs bort från slutpunkten
    • Okänt: Inga ändringar har identifierats för programmeringsfilen

  • När en programmeringsfil öppnas till höger visas den programmerade enheten som den programmerade tillgången. Flera enheter kan ha gjort programmeringsändringar på enheten. Enheter som har gjort ändringar visas som programmeringstillgångar, och information inkluderar värdnamnet, när ändringen gjordes och den användare som loggades in på enheten vid den tidpunkten.

Tips

Välj nedladdningsknappen för att ladda ned en kopia av den aktuella programmeringsfilen.

Exempel:

Skärmbild av att visa programmeringsinformation i tidslinjen för programmering.

Jämför filer med programmeringsinformation

Den här proceduren beskriver hur du jämför flera programinformationsfiler för att identifiera avvikelser eller undersöka dem för misstänkt aktivitet.

Så här jämför du filer:

  1. Öppna en programmeringsfil från en avisering eller från sidorna Enhetskarta eller Enhetsinventering .

  2. När din första fil är öppen väljer du knappen Jämför .

  3. I fönstret Jämför väljer du en fil för jämförelse genom att välja skalningsikonen under Åtgärd bredvid filen. Exempel:

    Skärmbild av fönstret Jämför filer.

    Den markerade filen öppnas i ett nytt fönster för jämförelse sida vid sida med den första filen. Den aktuella filen som är installerad på den programmerade enheten är märkt Aktuell överst i filen.

    Skärmbild av jämförelse av programmeringsfiler sida vid sida.

    Bläddra igenom filerna för att se programmeringsinformationen och eventuella skillnader mellan filerna. Skillnaderna mellan de två filerna är markerade i grönt och rött.

Nästa steg

Mer information finns i Importera enhetsinformation till en sensor.