Programmeerdetails en wijzigingen analyseren

  • Artikel

Verbeter forensische gegevens door programmeer gebeurtenissen op uw netwerkapparaten weer te geven en codewijzigingen te analyseren met behulp van de OT-sensor. Door naar programmeerevenementen te kijken, kunt u verdachte programmeeractiviteiten onderzoeken, zoals:

  • Menselijke fout: een technicus die het verkeerde apparaat programmeert.
  • Beschadigde programmeerautomatisering: programmeerfouten vanwege automatiseringsfouten.
  • Gehackte systemen: Niet-geautoriseerde gebruikers die zijn aangemeld bij een programmeerapparaat.

Gebruik het tabblad Programmeringstijdlijn op uw OT-netwerksensor om programmeergegevens te controleren, bijvoorbeeld bij het onderzoeken van een waarschuwing over niet-geautoriseerd programmeren, na een geplande controllerupdate of wanneer een proces of machine niet goed werkt en u wilt weten wie de laatste update heeft uitgevoerd en wanneer.

Programmeeractiviteiten die worden weergegeven op OT-sensoren omvatten zowel geautoriseerde als niet-geautoriseerde gebeurtenissen. Geautoriseerde gebeurtenissen worden uitgevoerd door apparaten die zijn geleerd of handmatig zijn gedefinieerd als programmeerapparaten. Niet-geautoriseerde gebeurtenissen worden uitgevoerd door apparaten die niet zijn geleerd of die niet handmatig zijn gedefinieerd als programmeerapparaten.

Notitie

Programmeergegevens zijn beschikbaar voor apparaten die gebruikmaken van op tekst gebaseerde programmeerprotocollen, zoals DeltaV.

Vereisten

Als u de procedures in dit artikel wilt uitvoeren, moet u het volgende doen:

  • Een OT-sensor geïnstalleerd en geconfigureerd, met op tekst gebaseerd programmeerprotocolverkeer.

  • Toegang tot de sensor als kijker, beveiligingsanalist of Beheer gebruiker.

Toegang tot programmeergegevens

Het tabblad Tijdlijn programmeren is toegankelijk via de pagina's Apparaatoverzicht, Apparaatinventaris en Gebeurtenistijdlijn in de sensorconsole.

Toegang tot programmeergegevens vanuit de apparaatkaart

  1. Meld u aan bij de OT-sensorconsole en selecteer Apparaattoewijzing.

  2. Selecteer in het gebied Groepen aan de linkerkant van de kaart De optie Ot-protocollen> filteren > en selecteer een op tekst gebaseerd programmeerprotocol, zoals DeltaV.

  3. Klik in de kaart met de rechtermuisknop op het apparaat dat u wilt analyseren en selecteer Tijdlijn programmeren.

    Schermopname van de optie voor de programmeertijdlijn van het apparaatoverzicht.

    De pagina met apparaatdetails wordt geopend met het tabblad Tijdlijn programmeren geopend.

Toegang tot programmeergegevens van de apparaatinventaris

  1. Meld u aan bij de OT-sensorconsole en selecteer Apparaatinventaris.

  2. Filter de apparaatinventaris om apparaten weer te geven met behulp van op tekst gebaseerde programmeerprotocollen, zoals DeltaV.

  3. Selecteer het apparaat dat u wilt analyseren en selecteer vervolgens Volledige details weergeven om de pagina met apparaatdetails te openen.

  4. Selecteer op de pagina met apparaatdetails het tabblad Tijdlijn programmeren .

    Bijvoorbeeld:

    Schermopname van het tabblad Tijdlijn programmeren op de pagina met apparaatdetails.

Toegang tot programmeergegevens vanuit de gebeurtenistijdlijn

Gebruik de gebeurtenistijdlijn om een tijdlijn weer te geven van gebeurtenissen waarin programmeerwijzigingen zijn gedetecteerd.

  1. Meld u aan bij de OT-sensorconsole en selecteer Tijdlijn van gebeurtenis.

  2. Filter de gebeurtenistijdlijn voor apparaten met behulp van op tekst gebaseerde programmeerprotocollen, zoals DeltaV.

  3. Selecteer de gebeurtenis die u wilt analyseren om het deelvenster met gebeurtenisdetails aan de rechterkant te openen en selecteer vervolgens Tijdlijn programmeren.

Programmeerdetails weergeven

Op het tabblad Tijdlijn programmeren ziet u details over elk apparaat dat is geprogrammeerd. Selecteer een gebeurtenis en een bestand om de volledige programmeerdetails aan de rechterkant weer te geven. Op het tabblad Tijdlijn programmeren :

  • Het gebied Recente gebeurtenissen bevat de 50 meest recente gebeurtenissen die door de OT-sensor zijn gedetecteerd. Beweeg de muisaanwijzer over een gebeurtenisperiode en selecteer de ster om de gebeurtenis te markeren als een belangrijke gebeurtenis.

  • In het gebied Bestanden worden de programmeerbestanden weergegeven die zijn gedetecteerd voor het geselecteerde apparaat. De OT-sensor kan maximaal 300 bestanden per apparaat weergeven, waarbij elk bestand een maximale grootte van 15 MB heeft. Het gebied Bestanden bevat de naam en grootte van elk bestand en een van de volgende statussen om de programmeergebeurtenis aan te geven die is opgetreden:

    • Toegevoegd: het programmeerbestand is toegevoegd aan het eindpunt
    • Bijgewerkt: het programmeerbestand is bijgewerkt op het eindpunt
    • Verwijderd: het programmeerbestand is verwijderd uit het eindpunt
    • Onbekend: er zijn geen wijzigingen gedetecteerd voor het programmeerbestand

  • Wanneer aan de rechterkant een programmeerbestand wordt geopend, wordt het geprogrammeerde apparaat weergegeven als de geprogrammeerde asset. Meerdere apparaten hebben mogelijk wijzigingen aangebracht in de programmeerfuncties op het apparaat. Apparaten die wijzigingen hebben aangebracht, worden weergegeven als de programmeerassets. Details zijn onder andere de hostnaam, het moment waarop de wijziging is aangebracht en de gebruiker die op dat moment is aangemeld bij het apparaat.

Tip

Selecteer de downloadknop om een kopie van het momenteel weergegeven programmeerbestand te downloaden.

Bijvoorbeeld:

Schermopname van het weergeven van programmeergegevens in de tijdlijn voor programmeren.

Programmeerdetailbestanden vergelijken

In deze procedure wordt beschreven hoe u meerdere programmeerdetailbestanden kunt vergelijken om discrepanties te identificeren of te onderzoeken op verdachte activiteiten.

Bestanden vergelijken:

  1. Open een programmeerbestand vanuit een waarschuwing of op de pagina Apparaatoverzicht of Apparaatinventarisatie .

  2. Wanneer uw eerste bestand is geopend, selecteert u de knop Vergelijken .

  3. Selecteer in het deelvenster Vergelijken een bestand voor vergelijking door het schaalpictogram onder Actie naast het bestand te selecteren. Bijvoorbeeld:

    Schermopname van het deelvenster Bestanden vergelijken.

    Het geselecteerde bestand wordt geopend in een nieuw deelvenster voor vergelijking met het eerste bestand naast elkaar. Het huidige bestand dat op het geprogrammeerde apparaat is geïnstalleerd, heeft het label Current bovenaan het bestand.

    Schermopname van het naast elkaar vergelijken van programmeerbestanden.

    Blader door de bestanden om de programmeerdetails en eventuele verschillen tussen de bestanden te bekijken. Verschillen tussen de twee bestanden zijn groen en rood gemarkeerd.

Volgende stappen

Zie Apparaatgegevens importeren in een sensor voor meer informatie.