Análisis de los detalles y los cambios de programación

  • Artículo

Mejore los análisis forenses mostrando eventos de programación que se producen en los dispositivos de red y analizando los cambios de código mediante el sensor de OT. Observar eventos de programación le ayuda a investigar actividades de programación sospechosas, como:

  • Error humano: un ingeniero programa el dispositivo equivocado.
  • Automatización de programación dañada: errores de programación debidos a errores de automatización.
  • Sistemas pirateados: usuarios no autorizados han iniciado sesión en un dispositivo de programación.

Use la pestaña Escala de tiempo de programación del sensor de red de OT para revisar los datos de programación, como al investigar una alerta sobre la programación no autorizada, después de una actualización planeada del controlador, o cuando un proceso o máquina no funciona correctamente y quiere comprender quién realizó la última actualización y cuándo.

La actividad de programación que se muestra en los sensores de OT incluye eventos autorizados y no autorizados. Los eventos autorizados se realizan mediante dispositivos aprendidos o definidos manualmente como dispositivos de programación. Los eventos no autorizados se realizan mediante dispositivos que no han sido aprendidos o definidos manualmente como dispositivos de programación.

Nota

Los datos de programación están disponibles para dispositivos que usan protocolos de programación basados en texto, como DeltaV.

Requisitos previos

Para realizar los procedimientos de este artículo, asegúrese de tener lo siguiente:

  • Un sensor de OT instalado y configurado, con tráfico de protocolo de programación basado en texto.

  • Acceso al sensor como Visor, Analista de seguridad o Usuario administrador.

Acceso a datos de programación

Se puede acceder a la pestaña Escala de tiempo de programación desde las páginas Mapa de dispositivos, Inventario de dispositivos y Escala de tiempo de eventos en la consola del sensor.

Acceso a los datos de programación desde el mapa del dispositivo

  1. Inicie sesión en la consola del sensor de OT y seleccione Mapa de dispositivos.

  2. En el área Grupos a la izquierda del mapa, seleccione Filtrar>Protocolos de OT,> seleccione un protocolo de programación basado en texto, como DeltaV.

  3. En el mapa, haga clic con el botón derecho en el dispositivo que desea analizar y seleccione Escala de tiempo de programación.

    Captura de pantalla de la opción de escala de tiempo de programación del mapa del dispositivo.

    Se abre la página de detalles del dispositivo con la pestaña Escala de tiempo de programación abierta.

Acceso a los datos de programación desde el inventario de dispositivos

  1. Inicie sesión en la consola del sensor de OT y seleccione Inventario de dispositivos.

  2. Filtre el inventario de dispositivos para mostrar los dispositivos mediante protocolos de programación basados en texto, como DeltaV.

  3. Seleccione el dispositivo que desea analizar y, a continuación, seleccione Ver detalles completos para abrir la página de detalles del dispositivo.

  4. En la página de detalles del dispositivo, seleccione la pestaña Escala de tiempo de programación.

    Por ejemplo:

    Captura de pantalla de la pestaña Escala de tiempo de programación en la página de detalles del dispositivo.

Acceso a los datos de programación desde la escala de tiempo del evento

Use la escala de tiempo del evento para mostrar una escala de tiempo de los eventos en los que se detectaron cambios de programación.

  1. Inicie sesión en la consola del sensor de OT y seleccione Escala de tiempo del evento.

  2. Filtre la escala de tiempo de eventos de los dispositivos mediante protocolos de programación basados en texto, como DeltaV.

  3. Seleccione el evento que desea analizar para abrir el panel de detalles del evento a la derecha y, a continuación, seleccione Escala de tiempo de programación.

Ver detalles de programación

En la pestaña Escala de tiempo de programación se muestran detalles sobre cada dispositivo que se programó. Seleccione un evento y un archivo para ver los detalles de programación completos a la derecha. En la pestaña Escala de tiempo de programación:

  • En el área Eventos recientes se enumeran los 50 eventos más recientes detectados por el sensor de OT. Mantenga el puntero sobre un período de evento y seleccione la estrella para marcar el evento como un evento Importante.

  • En el área Archivos se enumeran los archivos de programación detectados para el dispositivo seleccionado. El sensor OT puede mostrar un máximo de 300 archivos por dispositivo, donde cada archivo tiene un tamaño máximo de 15 MB. El área Archivos enumera el nombre y el tamaño de cada archivo, y uno de los siguientes estados para indicar el evento de programación que se produjo:

    • Agregado: el archivo de programación se agregó al punto de conexión
    • Actualizado: el archivo de programación se actualizó en el punto de conexión
    • Eliminado: el archivo de programación se quitó del punto de conexión
    • Desconocido: no se detectaron cambios en el archivo de programación

  • Cuando se abre un archivo de programación a la derecha, el dispositivo que se programó aparece como recurso programado. Es posible que varios dispositivos hayan realizado cambios de programación en el dispositivo. Los dispositivos que realizaron cambios se muestran como recursos de programación y los detalles incluyen el nombre de host, cuándo se realizó el cambio y el usuario que inició sesión en el dispositivo en ese momento.

Sugerencia

Seleccione el botón descargar para descargar una copia del archivo de programación mostrado actualmente.

Por ejemplo:

Captura de pantalla de la visualización de detalles de programación en la escala de tiempo de programación.

Comparar archivos de detalles de programación

En este procedimiento se describe cómo comparar varios archivos de detalles de programación para identificar discrepancias o investigarlos para actividades sospechosas.

Para comparar archivos:

  1. Abra un archivo de programación desde una alerta o desde las páginas Mapa de dispositivos o Inventario de dispositivos.

  2. Con el primer archivo abierto, seleccione el botón Comparar .

  3. En el panel Comparar, seleccione un archivo para la comparación seleccionando el icono de escala en Acción junto al archivo. Por ejemplo:

    Captura de pantalla del panel Comparar archivos.

    El archivo seleccionado se abre en un nuevo panel para la comparación en paralelo con el primer archivo. El archivo actual instalado en el dispositivo programado está etiquetado como Actual en la parte superior del archivo.

    Captura de pantalla de la comparación de archivos de programación en paralelo.

    Desplácese por los archivos para ver los detalles de programación y las diferencias entre los archivos. Las diferencias entre los dos archivos se resaltan en verde y rojo.

Pasos siguientes

Para más información, consulte Importación de la información del dispositivo a un sensor.