你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

分析编程详细信息和更改

通过显示网络设备上发生的编程事件并使用 OT 传感器分析任何代码更改来增强取证功能。 监视编程事件有助于调查可疑的编程活动，例如：

• 人为错误：工程师正在编程错误的设备。
• 编程自动化损坏：自动化失败导致的编程错误。
• 遭到黑客攻击的系统：未经授权的用户登录了编程设备。

使用 OT 网络传感器上的“编程时间线”选项卡查看编程数据，例如，在调查有关未授权编程的警报时、计划内控制器更新后，或者进程或计算机无法正常工作，并且你希望了解谁进行了上次更新以及何时进行了更新。

OT 传感器上显示的编程活动包括已授权和未经授权事件。 已授权事件由已学习或手动定义为编程设备的设备执行。 已授权事件由尚未学习或手动定义为编程设备的设备执行。

注意

编程数据可用于使用基于文本的编程协议（例如 DeltaV）的设备。

先决条件

若要执行本文中的过程，请确保：

• 安装并配置了 OT 传感器，其中包含基于文本的编程协议流量。

• 以查看者、安全分析师或管理员用户身份访问传感器。

访问编程数据

可以从传感器控制台中的“设备映射”、“设备清单”和“事件时间线”页访问“编程时间线”选项卡。

从设备映射访问编程数据

1. 登录到 OT 传感器控制台，然后选择“设备映射”。

2. 在映射左侧的“组”区域中，选择“筛选”>“OT 协议>”，然后选择基于文本的编程协议（如 DeltaV）。

3. 在映射中，右键单击要分析的设备，然后选择“编程时间线”。

   

   设备详细信息页随即打开，并打开“编程时间线”选项卡。

从设备清单访问编程数据

1. 登录到 OT 传感器控制台，然后选择“设备清单”。

2. 筛选设备清单以显示使用基于文本的编程协议（如 DeltaV）的设备。

3. 选择要分析的设备，然后选择“查看完整详细信息”以打开设备详细信息页。

4. 在设备详细信息页上，选择“编程时间线”选项卡。

   例如：

   

从事件时间线访问编程数据

使用事件时间线来显示检测到编程更改的事件的时间线。

1. 登录到 OT 传感器控制台，然后选择“事件时间线”。

2. 筛选使用基于文本的编程协议（如 DeltaV）的设备的事件时间线。

3. 选择要分析的事件以在右侧打开事件详细信息窗格，然后选择“编程时间线”。

查看编程详细信息

“编程时间线”选项卡显示有关已编程的每个设备的详细信息。 选择事件和文件，在右侧查看完整编程详细信息。 在“编程时间线”选项卡中：

• “最近事件”区域列出了 OT 传感器检测到的 50 个最新事件。 将鼠标悬停在事件时间段上，选择星号以将事件标记为“重要”事件。

• “文件”区域列出了为所选设备检测到的编程文件。 OT 传感器对每个设备最多可以显示 300 个文件，其中每个文件的最大大小为 15 MB。 “文件”区域列出了每个文件的名称和大小以及以下状态之一，以指示发生的编程事件：

  • 已添加：编程文件已添加到终结点
  • 已更新：在终结点上更新了编程文件
  • 已删除：已从终结点中删除编程文件
  • 未知：未检测到编程文件的更改

• 当在右侧打开编程文件时，已编程的设备将列为已编程资产。 多个设备可能对该设备做了编程更改。 做更改的设备将作为编程资产列出，详细信息包括主机名、更改时间以及登录该设备的用户。

提示

选择 下载按钮，下载当前显示的编程文件的副本。

例如：

比较编程详细信息文件

此过程介绍如何比较多个编程详细信息文件，以识别差异或调查其可疑活动。

若要比较文件，请执行以下操作：

1. 从警报或者从“设备映射”或“设备清单”页打开编程文件。

2. 当第一个文件打开后，请选择“比较 ”按钮。

3. 在“比较”窗格中，通过选择文件旁边的“操作”下的天平图标来选择要比较的文件。 例如：

   

   所选文件将在新窗格中打开，以便与第一个文件并排比较。 在编程设备上安装的当前文件在文件顶部标记为“当前”。

   

   滚动浏览文件以查看编程详细信息以及文件之间的任何差异。 两个文件之间的差异以绿色和红色突出显示。

后续步骤

有关详细信息，请参阅将设备信息导入传感器。