Analysieren von Programmierdetails und -änderungen
Verbessern Sie die Forensik, indem Sie Programmierereignisse anzeigen, die auf Ihren Netzwerkgeräten auftreten, und alle Codeänderungen mithilfe des OT-Sensors analysieren. Das Überwachen von Programmierereignissen hilft Ihnen, verdächtige Programmieraktivitäten zu untersuchen, z. B.:
- Menschlicher Fehler: Ein Techniker programmiert das falsche Gerät.
- Beschädigte Programmierautomatisierung: Programmierfehler aufgrund von Automatisierungsfehlern.
- Gehackte Systeme: Unbefugte Benutzer haben sich an einem Programmiergerät angemeldet.
Verwenden Sie die Registerkarte Programmierzeitachse auf Ihrem OT-Netzwerksensor, um Programmierdaten zu überprüfen, z. B. bei der Untersuchung einer Warnung zu nicht autorisierter Programmierung, nach einem geplanten Controllerupdate oder wenn ein Prozess oder Computer nicht ordnungsgemäß funktioniert und Sie wissen möchten, wer das letzte Update wann vorgenommen hat.
Die auf OT-Sensoren angezeigten Programmieraktivitäten umfassen sowohl autorisierte als auch nicht autorisierte Ereignisse. Autorisierte Ereignisse werden von Geräten ausgeführt, die entweder als Programmiergeräte erkannt oder manuell festgelegt wurden. Nicht autorisierte Ereignisse werden von Geräten ausgeführt, die nicht als Programmiergeräte erkannt oder manuell festgelegt wurden.
Hinweis
Programmierdaten stehen für Geräte mit textbasierten Programmierprotokollen wie DeltaV zur Verfügung.
Voraussetzungen
Bevor Sie die Verfahren in diesem Artikel ausführen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Ein installierter und konfigurierter OT-Sensor mit textbasiertem Programmierprotokolldatenverkehr.
Zugriff auf den Sensor als Viewer, Sicherheitsanalyst oder Admin.
Zugreifen auf Programmierdaten
Auf die Registerkarte Programmierzeitachse kann über die Seiten Geräteübersicht, Gerätebestand und Ereigniszeitachse in der Sensorkonsole zugegriffen werden.
Zugreifen auf Programmierdaten über die Geräteübersicht
Melden Sie sich bei der OT-Sensorkonsole an, und wählen Sie Geräteübersicht aus.
Wählen Sie im Bereich Gruppen links neben der Übersicht Filter>OT-Protokolle> und dann ein textbasiertes Programmierprotokoll aus, z. B. DeltaV.
Klicken Sie in der Übersicht mit der rechten Maustaste auf das zu analysierende Gerät, und wählen Sie Programmierzeitachse aus.
Die Seite mit den Gerätedetails wird geöffnet, wobei die Registerkarte Programmierzeitachse bereits angewählt ist.
Zugreifen auf Programmierdaten über den Gerätebestand
Melden Sie sich bei der OT-Sensorkonsole an, und wählen Sie Gerätebestand aus.
Filtern Sie den Gerätebestand, um Geräte mit textbasierten Programmierprotokollen wie DeltaV anzuzeigen.
Wählen Sie das zu analysierende Gerät aus, und wählen Sie dann Vollständige Details anzeigen aus, um die Seite mit den Gerätedetails zu öffnen.
Wählen Sie auf der Seite mit den Gerätedetails die Registerkarte Programmierzeitachse aus.
Zum Beispiel:
Zugreifen auf Programmierdaten über die Ereigniszeitachse
Die Zeitskala der Ereignisse zeigt Ereignisse, bei denen Programmieränderungen erkannt wurden.
Melden Sie sich bei der OT-Sensorkonsole an, und wählen Sie Ereigniszeitachse aus.
Filtern Sie die Ereigniszeitachse nach Geräten mit textbasierten Programmierprotokollen wie DeltaV.
Wählen Sie das zu analysierende Ereignis aus, um den Bereich mit den Ereignisdetails auf der rechten Seite zu öffnen, und wählen Sie dann Programmierzeitachse aus.
Anzeigen von Programmierdetails
Auf der Registerkarte Programmierzeitachse werden Details zu jedem Gerät angezeigt, das programmiert wurde. Wählen Sie ein Ereignis und eine Datei aus, um die vollständigen Programmierdetails auf der rechten Seite anzuzeigen. Registerkarte Programmierzeitachse:
Im Bereich Letzte Ereignisse werden die 50 letzten Ereignisse aufgelistet, die vom OT-Sensor erkannt wurden. Zeigen Sie mit der Maus auf einen Ereigniszeitraum, wählen Sie dann den Stern aus, um das Ereignis als Wichtig zu markieren.
Im Bereich Dateien werden die für das ausgewählte Gerät erkannten Programmierdateien aufgelistet. Der OT-Sensor kann maximal 300 Dateien pro Gerät anzeigen, wobei jede Datei eine maximale Größe von 15 MB hat. Der Bereich Dateien enthält den Namen und die Größe der einzelnen Dateien sowie einen der folgenden Status, um das aufgetretene Programmierereignis anzugeben:
- Hinzugefügt: Die Programmierdatei wurde dem Endpunkt hinzugefügt.
- Aktualisiert: Die Programmierdatei wurde auf dem Endpunkt aktualisiert.
- Gelöscht: Die Programmierdatei wurde vom Endpunkt entfernt.
- Unbekannt: Für die Programmierdatei wurden keine Änderungen erkannt.
Wenn auf der rechten Seite eine Programmierdatei geöffnet wird, wird das Gerät, das programmiert wurde, als programmierte Ressource aufgelistet. Möglicherweise haben mehrere Geräte Änderungen an der Programmierung des Geräts vorgenommen. Geräte, die Änderungen vorgenommen haben, werden als Programmierressourcen aufgelistet. Die entsprechenden Details enthalten den Hostnamen, den Zeitpunkt der Änderung und den Benutzer, der zu diesem Zeitpunkt beim Gerät angemeldet war.
Tipp
Wählen Sie die Schaltfläche „Herunterladen“ aus, um eine Kopie der derzeit angezeigten Programmierdatei herunterzuladen.
Zum Beispiel:
Vergleichen von Programmierdateien mit Details
In dieser Prozedur wird beschrieben, wie mehrere Programmierdateien mit Details vergleichen werden können, um Abweichungen zu identifizieren oder sie auf verdächtige Aktivitäten zu untersuchen.
So vergleichen Sie Dateien:
Öffnen Sie eine Programmierdatei aus einer Warnung oder über die Seiten Geräteübersicht oder Gerätebestand.
Wenn Ihre erste Datei geöffnet ist, wählen Sie die Schaltfläche „Vergleichen“ aus.
Wählen Sie im Bereich Vergleichen eine Datei für den Vergleich aus, indem Sie neben der Datei das Skalierungssymbol unter Aktion auswählen. Zum Beispiel:
Die ausgewählte Datei wird in einem neuen Bereich für einen direkten Vergleich mit der ersten Datei geöffnet. Die aktuelle Datei, die auf dem programmierten Gerät installiert ist, trägt an seinem Anfang die Bezeichnung Aktuell.
Scrollen Sie durch die Dateien, um die Programmierdetails und alle Unterschiede zwischen den Dateien zu sehen. Die Unterschiede zwischen den beiden Dateien sind grün und rot hervorgehoben.
Nächste Schritte
Weitere Informationen finden Sie unter Importieren von Geräteinformationen in einen Sensor.