Condividi tramite

Analizzare i dettagli e le modifiche della programmazione

  • Articolo

Migliorare le analisi forensi visualizzando gli eventi di programmazione che si verificano nei dispositivi di rete e analizzando eventuali modifiche al codice usando il sensore OT. La ricerca di eventi di programmazione consente di analizzare attività di programmazione sospette, ad esempio:

  • Errore umano: un tecnico che programma il dispositivo sbagliato.
  • Automazione della programmazione danneggiata: errori di programmazione causati da errori di automazione.
  • Sistemi compromessi: utenti non autorizzati connessi a un dispositivo di programmazione.

Usare la scheda Sequenza temporale di programmazione nel sensore di rete OT per esaminare i dati di programmazione, ad esempio durante l'analisi di un avviso relativo alla programmazione non autorizzata, dopo un aggiornamento pianificato del controller o quando un processo o un computer non funziona correttamente e si vuole capire chi ha eseguito l'ultimo aggiornamento e quando.

L'attività di programmazione mostrata nei sensori OT include eventi sia autorizzati che non autorizzati . Gli eventi autorizzati vengono eseguiti dai dispositivi appresi o definiti manualmente come dispositivi di programmazione. Gli eventi non autorizzati vengono eseguiti da dispositivi che non sono stati appresi o definiti manualmente come dispositivi di programmazione.

Nota

I dati di programmazione sono disponibili per i dispositivi che usano protocolli di programmazione basati su testo, ad esempio DeltaV.

Prerequisiti

Per eseguire le procedure descritte in questo articolo, assicurarsi di disporre di:

  • Un sensore OT installato e configurato, con traffico del protocollo di programmazione basato su testo.

  • Accesso al sensore come visualizzatore, analista della sicurezza o utente Amministrazione.

Accedere ai dati di programmazione

È possibile accedere alla scheda Sequenza temporale di programmazione dalle pagine Mappa del dispositivo, Inventario dispositivi e Sequenza temporale eventi nella console del sensore.

Accedere ai dati di programmazione dalla mappa dei dispositivi

  1. Accedere alla console del sensore OT e selezionare Mappa del dispositivo.

  2. Nell'area Gruppi a sinistra della mappa selezionare Filtra>protocolli> OT selezionare un protocollo di programmazione basato su testo, ad esempio DeltaV.

  3. Nella mappa fare clic con il pulsante destro del mouse sul dispositivo da analizzare e scegliere Sequenza temporale di programmazione.

    Screenshot dell'opzione della sequenza temporale di programmazione dalla mappa del dispositivo.

    Viene visualizzata la pagina dei dettagli del dispositivo con la scheda Sequenza temporale di programmazione aperta.

Accedere ai dati di programmazione dall'inventario dei dispositivi

  1. Accedere alla console del sensore OT e selezionare Inventario dispositivi.

  2. Filtrare l'inventario dei dispositivi per visualizzare i dispositivi usando protocolli di programmazione basati su testo, ad esempio DeltaV.

  3. Selezionare il dispositivo da analizzare e quindi selezionare Visualizza dettagli completi per aprire la pagina dei dettagli del dispositivo.

  4. Nella pagina dei dettagli del dispositivo selezionare la scheda Sequenza temporale programmazione .

    Ad esempio:

    Screenshot della scheda sequenza temporale di programmazione nella pagina dei dettagli del dispositivo.

Accedere ai dati di programmazione dalla sequenza temporale degli eventi

Usare la sequenza temporale degli eventi per visualizzare una sequenza temporale degli eventi in cui sono state rilevate modifiche di programmazione.

  1. Accedere alla console del sensore OT e selezionare Sequenza temporale eventi.

  2. Filtrare la sequenza temporale degli eventi per i dispositivi usando protocolli di programmazione basati su testo, ad esempio DeltaV.

  3. Selezionare l'evento da analizzare per aprire il riquadro dei dettagli dell'evento a destra e quindi selezionare Sequenza temporale di programmazione.

Visualizzare i dettagli di programmazione

La scheda Sequenza temporale di programmazione mostra i dettagli su ogni dispositivo programmato. Selezionare un evento e un file per visualizzare i dettagli di programmazione completi a destra. Nella scheda Sequenza temporale programmazione :

  • L'area Eventi recenti elenca i 50 eventi più recenti rilevati dal sensore OT. Passare il puntatore del mouse su un periodo di evento selezionare la stella per contrassegnare l'evento come evento Importante .

  • L'area File elenca i file di programmazione rilevati per il dispositivo selezionato. Il sensore OT può visualizzare un massimo di 300 file per dispositivo, in cui ogni file ha una dimensione massima di 15 MB. L'area File elenca il nome e le dimensioni di ogni file e uno degli stati seguenti per indicare l'evento di programmazione che si è verificato:

    • Aggiunta: il file di programmazione è stato aggiunto all'endpoint
    • Aggiornato: il file di programmazione è stato aggiornato nell'endpoint
    • Eliminato: il file di programmazione è stato rimosso dall'endpoint
    • Sconosciuto: non sono state rilevate modifiche per il file di programmazione

  • Quando un file di programmazione viene aperto a destra, il dispositivo programmato viene elencato come asset programmato. È possibile che più dispositivi abbiano apportato modifiche alla programmazione nel dispositivo. I dispositivi che hanno apportato modifiche vengono elencati come asset di programmazione e i dettagli includono il nome host, la modifica apportata e l'utente che ha eseguito l'accesso al dispositivo al momento.

Suggerimento

Selezionare il pulsante di download per scaricare una copia del file di programmazione attualmente visualizzato.

Ad esempio:

Screenshot della visualizzazione dei dettagli di programmazione nella sequenza temporale di programmazione.

Confrontare i file di dettaglio della programmazione

Questa procedura descrive come confrontare più file di dettagli di programmazione per identificare le discrepanze o esaminarle per individuare attività sospette.

Per confrontare i file:

  1. Aprire un file di programmazione da un avviso o dalle pagine Mappa del dispositivo o Inventario dispositivi .

  2. Con il primo file aperto, selezionare il pulsante Confronta .

  3. Nel riquadro Confronta selezionare un file per il confronto selezionando l'icona della scala in Azione accanto al file. Ad esempio:

    Screenshot del riquadro dei file di confronto.

    Il file selezionato viene aperto in un nuovo riquadro per il confronto affiancato con il primo file. Il file corrente installato nel dispositivo programmato viene etichettato Current nella parte superiore del file.

    Screenshot del confronto dei file di programmazione affiancato.

    Scorrere i file per visualizzare i dettagli di programmazione e le eventuali differenze tra i file. Le differenze tra i due file sono evidenziate in verde e rosso.

Passaggi successivi

Per altre informazioni, vedere Importare informazioni sul dispositivo in un sensore.