다음을 통해 공유

프로그래밍 세부 정보 및 변경 내용 분석

  • 아티클

네트워크 디바이스에서 발생하는 프로그래밍 이벤트를 표시하고 OT 센서를 사용하여 코드 변경 내용을 분석하여 포렌식 기능을 향상시킵니다. 프로그래밍 이벤트를 감시하면 다음과 같은 의심스러운 프로그래밍 활동을 조사하는 데 도움이 됩니다.

  • 사용자 오류: 엔지니어가 잘못된 디바이스를 프로그래밍하고 있습니다.
  • 손상된 프로그래밍 자동화: 자동화 오류로 인한 프로그래밍 오류입니다.
  • 해킹된 시스템: 인증되지 않은 사용자가 프로그래밍 디바이스에 로그인했습니다.

OT 네트워크 센서의 프로그래밍 타임라인 탭을 사용하여 권한 없는 프로그래밍에 대한 경고를 조사하는 경우, 계획된 컨트롤러를 업데이트한 이후 또는 프로세스 또는 컴퓨터가 제대로 작동하지 않아서 마지막 업데이트를 수행한 사람과 시기를 파악하기 원하는 경우 등에 프로그래밍 데이터를 검토합니다.

OT 센서에 표시되는 프로그래밍 활동에는 ‘권한 있는’ 이벤트와 ‘권한 없는’ 이벤트가 모두 포함됩니다. 권한 있는 이벤트는 프로그래밍 디바이스로 학습되거나 수동으로 정의된 디바이스에서 수행됩니다. 권한 없는 이벤트는 프로그래밍 디바이스로 학습 및 수동으로 정의되지 않은 디바이스에서 수행됩니다.

참고 항목

프로그래밍 데이터는 DeltaV와 같은 텍스트 기반 프로그래밍 프로토콜을 사용하는 디바이스에서 사용할 수 있습니다.

필수 조건

이 문서의 절차를 수행하기 전에 다음이 있는지 확인합니다.

  • 텍스트 기반 프로그래밍 프로토콜 트래픽을 사용하여 설치 및 구성된 OT 센서.

  • 보기 권한자, 보안 분석가 또는 관리 사용자로 센서에 액세스합니다.

프로그래밍 데이터에 액세스

프로그래밍 타임라인 탭은 센서 콘솔의 디바이스 맵, 디바이스 인벤토리이벤트 타임라인 페이지에서 액세스할 수 있습니다.

디바이스 맵에서 프로그래밍 데이터에 액세스

  1. OT 센서 콘솔에 로그인하고 디바이스 맵을 선택합니다.

  2. 맵 왼쪽의 그룹 영역에서 필터>OT 프로토콜>을 선택하고 DeltaV와 같은 텍스트 기반 프로그래밍 프로토콜을 선택합니다.

  3. 맵에서 분석할 디바이스를 마우스 오른쪽 단추로 클릭하고 프로그래밍 타임라인을 선택합니다.

    Screenshot of the programming timeline option from the device map.

    프로그래밍 타임라인 탭이 열리면 디바이스 세부 정보 페이지가 열립니다.

디바이스 인벤토리에서 프로그래밍 데이터에 액세스

  1. OT 센서 콘솔에 로그인하고 디바이스 인벤토리를 선택합니다.

  2. DeltaV와 같은 텍스트 기반 프로그래밍 프로토콜을 사용하여 디바이스를 표시하도록 디바이스 인벤토리를 필터링합니다.

  3. 분석할 디바이스를 선택한 다음, 전체 세부 정보 보기를 선택하여 디바이스 세부 정보 페이지를 엽니다.

  4. 디바이스 세부 정보 페이지에서 프로그래밍 타임라인 탭을 선택합니다.

    예시:

    Screenshot of programming timeline tab on device details page.

이벤트 타임라인에서 프로그래밍 데이터에 액세스

이벤트 타임라인을 사용하여 프로그래밍 변경이 검색된 이벤트의 타임라인을 표시합니다.

  1. OT 센서 콘솔에 로그인하고 이벤트 타임라인을 선택합니다.

  2. DeltaV와 같은 텍스트 기반 프로그래밍 프로토콜을 사용하여 디바이스에 대한 이벤트 타임라인을 필터링합니다.

  3. 분석할 이벤트를 선택하여 오른쪽에 있는 이벤트 세부 정보 창을 연 다음, 프로그래밍 타임라인을 선택합니다.

프로그래밍 세부 정보 보기

프로그래밍 타임라인 탭에는 프로그래밍된 각 디바이스에 대한 세부 정보가 표시됩니다. 이벤트 및 파일을 선택하여 오른쪽에 표시되는 전체 프로그래밍 세부 정보를 봅니다. 프로그래밍 타임라인 탭에서 다음을 수행합니다.

  • 최근 이벤트 영역에는 OT 센서에서 감지한 50개의 가장 최근 이벤트가 나열됩니다. 이벤트 기간을 마우스로 가리키면 별모양을 선택하여 이벤트를 중요 이벤트로 표시합니다.

  • 파일 영역에는 선택한 디바이스에 대해 검색된 프로그래밍 파일이 나열됩니다. OT 센서는 디바이스당 최대 300개의 파일을 표시할 수 있으며 각 파일의 최대 크기는 15MB입니다. 파일 영역에는 각 파일의 이름과 크기가 나열되고, 발생한 프로그래밍 이벤트를 나타내는 다음 상태 중 하나가 표시됩니다.

    • 추가됨: 프로그래밍 파일이 엔드포인트에 추가되었습니다.
    • 업데이트됨: 프로그래밍 파일이 엔드포인트에서 업데이트되었습니다.
    • 삭제됨: 프로그래밍 파일이 엔드포인트에서 제거되었습니다.
    • 알 수 없음: 프로그래밍 파일에 대한 변경 내용이 검색되지 않았습니다.

  • 오른쪽에서 프로그래밍 파일을 열면 프로그래밍된 디바이스가 ‘프로그래밍된 자산’으로 표시됩니다. 여러 디바이스에서 프로그래밍 방식으로 해당 디바이스를 변경했을 수 있습니다. 변경한 디바이스는 프로그래밍 자산으로 나열되며, 세부 정보에는 호스트 이름, 변경된 시간 및 당시 디바이스에 로그인한 사용자가 포함됩니다.

다운로드 단추를 선택하여 현재 표시된 프로그래밍 파일의 복사본을 다운로드합니다.

예시:

Screenshot of viewing programming details in programming timeline.

프로그래밍 세부 정보 파일 비교

이 절차에서는 여러 프로그래밍 세부 정보 파일을 비교하여 불일치를 식별하거나 의심스러운 활동이 있는지 조사하는 방법을 설명합니다.

파일을 비교하려면 다음을 수행합니다.

  1. 경고에서, 디바이스 맵 또는 디바이스 인벤토리 페이지에서 프로그래밍 파일을 엽니다.

  2. 첫 번째 파일이 열려 있는 상태에서 비교 단추를 선택합니다.

  3. 비교 창에서 파일 옆의 작업에서 배율 아이콘을 선택하여 비교할 파일을 선택합니다. 예시:

    Screenshot of compare files pane.

    선택한 파일은 첫 번째 파일과 나란히 비교할 수 있게 새 창에서 열립니다. 프로그래밍된 디바이스에 설치된 현재 파일 맨 위에는 ‘현재’Current 레이블이 표시됩니다.

    Screenshot of programming file comparison side by side.

    파일을 스크롤하여 프로그래밍 세부 정보와 파일 간의 차이점을 확인합니다. 두 파일 간의 차이점은 녹색과 빨간색으로 강조 표시됩니다.

다음 단계

자세한 내용은 센서로 디바이스 정보 가져오기를 참조하세요.