Programlama ayrıntılarını ve değişikliklerini analiz etme
Ağ cihazlarınızda gerçekleşen programlama olaylarını görüntüleyerek ve OT algılayıcısını kullanarak kod değişikliklerini analiz ederek adli verileri geliştirin. Programlama olaylarını izlemek, aşağıdakiler gibi şüpheli programlama etkinliklerini araştırmanıza yardımcı olur:
- İnsan hatası: Bir mühendis yanlış cihazı programlıyor.
- Bozuk programlama otomasyonu: Otomasyon hatalarından kaynaklanan programlama hataları.
- Ele geçirilen sistemler: Bir programlama cihazında oturum açan yetkisiz kullanıcılar.
Yetkisiz programlamayla ilgili bir uyarıyı araştırırken, planlı bir denetleyici güncelleştirmesinin ardından veya bir işlem veya makinenin düzgün çalışmaması ve son güncelleştirmeyi kimin ve ne zaman yaptığını anlamak istemeniz gibi programlama verilerini gözden geçirmek için OT ağ algılayıcınızdaki Programlama Zaman Çizelgesi sekmesini kullanın.
OT algılayıcılarında gösterilen programlama etkinliği hem yetkili hem de yetkisiz olayları içerir. Yetkili olaylar, öğrenilen veya programlama cihazları olarak el ile tanımlanan cihazlar tarafından gerçekleştirilir. Yetkisiz olaylar, öğrenilmemiş veya programlama cihazları olarak el ile tanımlanmamış cihazlar tarafından gerçekleştirilir.
Not
Programlama verileri DeltaV gibi metin tabanlı programlama protokollerini kullanan cihazlar için kullanılabilir.
Önkoşullar
Bu makaledeki yordamları gerçekleştirmek için şunlara sahip olduğunuzdan emin olun:
Metin tabanlı programlama protokolü trafiğiyle birlikte yüklenmiş ve yapılandırılmış bir OT algılayıcısı.
Görüntüleyici, Güvenlik analisti veya Yönetici kullanıcı olarak algılayıcıya erişim.
Programlama verilerine erişme
Programlama Zaman Çizelgesi sekmesine algılayıcı konsolundaki Cihaz haritası, Cihaz envanteri ve Olay zaman çizelgesi sayfalarından erişilebilir.
Cihaz haritasından programlama verilerine erişme
OT algılayıcı konsolunda oturum açın ve Cihaz haritası'nı seçin.
Haritanın sol kısmındaki Gruplar alanındaOT Protokollerini>Filtrele'yi> seçerek DeltaV gibi metin tabanlı bir programlama protokolü seçin.
Haritada analiz etmek istediğiniz cihaza sağ tıklayın ve Programlama zaman çizelgesi'ni seçin.
Cihaz ayrıntıları sayfası , Programlama Zaman Çizelgesi sekmesi açık olarak açılır.
Cihaz envanterinden programlama verilerine erişme
OT algılayıcı konsolunda oturum açın ve Cihaz envanteri'ni seçin.
DeltaV gibi metin tabanlı programlama protokollerini kullanarak cihazları göstermek için cihaz envanterini filtreleyin.
Analiz etmek istediğiniz cihazı seçin ve ardından Tüm ayrıntıları görüntüle'yi seçerek cihaz ayrıntıları sayfasını açın.
Cihaz ayrıntıları sayfasında Programlama Zaman Çizelgesi sekmesini seçin.
Örnek:
Olay zaman çizelgesinden programlama verilerine erişme
Programlama değişikliklerinin algılandığı olayların zaman çizelgesini görüntülemek için olay zaman çizelgesini kullanın.
OT algılayıcı konsolunda oturum açın ve Olay zaman çizelgesi'ni seçin.
DeltaV gibi metin tabanlı programlama protokollerini kullanarak cihazlar için olay zaman çizelgesini filtreleyin.
Analiz etmek istediğiniz olayı seçerek sağ taraftaki olay ayrıntıları bölmesini açın ve ardından Programlama zaman çizelgesi'ni seçin.
Programlama ayrıntılarını görüntüleme
Programlama Zaman Çizelgesi sekmesi, programlanmış her cihazla ilgili ayrıntıları gösterir. Sağdaki tüm programlama ayrıntılarını görüntülemek için bir olay ve dosya seçin. Programlama Zaman Çizelgesi sekmesinde:
Son Olaylar alanında OT algılayıcısı tarafından algılanan en son 50 olay listelenir. Bir olay döneminin üzerine gelin, olayı Önemli olay olarak işaretlemek için yıldızı seçin.
Dosyalar alanında seçili cihaz için algılanan programlama dosyaları listelenir. OT algılayıcısı cihaz başına en fazla 300 dosya görüntüleyebilir ve her dosyanın boyutu en fazla 15 MB'tır. Dosyalar alanında her dosyanın adı ve boyutu ve gerçekleşen programlama olayını belirtmek için aşağıdaki durumlardan biri listelenir:
- Eklendi: Programlama dosyası uç noktaya eklendi
- Güncelleştirildi: Programlama dosyası uç noktada güncelleştirildi
- Silindi: Programlama dosyası uç noktadan kaldırıldı
- Bilinmiyor: Programlama dosyası için hiçbir değişiklik algılanmadı
Sağ tarafta bir programlama dosyası açıldığında, programlanmış cihaz programlanmış varlık olarak listelenir. Cihazda birden çok cihaz programlama değişiklikleri yapmış olabilir. Değişiklik yapan cihazlar programlama varlıkları olarak listelenir ve ayrıntılar ana bilgisayar adını, değişikliğin ne zaman yapıldığını ve o sırada cihazda oturum açmış olan kullanıcıyı içerir.
İpucu
Şu anda görüntülenen programlama dosyasının bir kopyasını indirmek için indirme düğmesini seçin.
Örnek:
Programlama ayrıntı dosyalarını karşılaştırma
Bu yordamda, tutarsızlıkları belirlemek veya şüpheli etkinlikler için araştırmak için birden çok programlama ayrıntı dosyasının nasıl karşılaştırıldığı açıklanır.
Dosyaları karşılaştırmak için:
Bir uyarıdan veya Cihaz haritasından veya Cihaz envanteri sayfalarından bir programlama dosyası açın.
İlk dosyanız açıkken karşılaştır
düğmesini seçin.Karşılaştır bölmesinde, dosyanın yanındaki Eylem'in altındaki ölçek simgesini seçerek karşılaştırma için bir dosya seçin. Örnek:
Seçilen dosya, ilk dosyayla yan yana karşılaştırma için yeni bir bölmede açılır. Programlanmış cihaza yüklenen geçerli dosya, dosyanın en üstünde Current olarak etiketlenmiştir.
Programlama ayrıntılarını ve dosyalar arasındaki farkları görmek için dosyaları kaydırın. İki dosya arasındaki farklar yeşil ve kırmızı renkle vurgulanır.
Sonraki adımlar
Daha fazla bilgi için bkz. Cihaz bilgilerini algılayıcıya aktarma.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin