プログラミングの詳細と変更を分析する

  • [アーティクル]

ネットワーク デバイスで発生するプログラミング イベントを表示し、OT センサーを使用してコードの変更を分析することで、フォレンジクスを強化します。 プログラミング イベントの監視は、次のような疑わしいプログラミング アクティビティを調査するのに役立ちます。

  • 人的エラー: エンジニアが間違ったデバイスをプログラミングしている。
  • 破損したプログラミング オートメーション: オートメーション エラーが原因のプログラミング エラー。
  • ハッキングされたシステム: 認可されていないユーザーがプログラミング デバイスにログインした。

OT ネットワーク センサーの [プログラミング タイムライン] タブを使用して、プログラミング データを確認します。たとえば、未認可のプログラミングに関するアラートを調査する場合、計画的なコントローラーの更新後、あるいはプロセスまたはマシンが正しく動作せず、最後の更新を行ったユーザーとタイミングを把握する場合などです。

OT センサーに表示されるプログラミング アクティビティには、許可されたイベントと許可されていないイベントの両方が含まれます。 許可されたイベントは、プログラミング デバイスとして学習されたデバイス、または手動で定義されたデバイスによって実行されます。 許可されていないイベントは、プログラミング デバイスとして学習されていないデバイス、または手動で定義されていないデバイスによって実行されます。

Note

プログラミング データは、DeltaV などのテキスト ベースのプログラミング プロトコルを使用するデバイスで使用できます。

前提条件

この記事の手順を実行する前に、次のものがあることを確認してください。

  • テキスト ベースのプログラミング プロトコル トラフィックを使用してインストールおよび構成された OT センサー。

  • ビューアーセキュリティ アナリスト、または管理者ユーザーとしてセンサーにアクセスします。

プログラミング データへのアクセス

[プログラミング タイムライン] タブには、センサー コンソールの [デバイス マップ][デバイス インベントリ][イベント タイムライン] ページからアクセスできます。

デバイス マップからプログラミング データにアクセスする

  1. OT センサー コンソールにサインインし、[デバイス マップ] を選択します。

  2. マップの左側にある [グループ] 領域で、[フィルター]>[OT プロトコル]> を選択し、DeltaV などのテキスト ベースのプログラミング プロトコルを選択します。

  3. マップで、分析するデバイスを右クリックし、[プログラミング タイムライン] を選択します。

    デバイス マップのプログラミング タイムライン オプションのスクリーンショット。

    デバイスの詳細ページが開き、[プログラミング タイムライン] タブが開きます。

デバイス インベントリからプログラミング データにアクセスする

  1. OT センサー コンソールにサインインし、[デバイス インベントリ] を選択します。

  2. デバイス インベントリをフィルター処理して、DeltaV などのテキスト ベースのプログラミング プロトコルを使用してデバイスを表示します。

  3. 分析するデバイスを選択し、[すべての詳細の表示] を選択して [デバイスの詳細] ページを開きます。

  4. [デバイスの詳細] ページで、[プログラミング タイムライン] タブを選択します。

    次に例を示します。

    [デバイスの詳細] ページの [プログラミング タイムライン] タブのスクリーンショット。

イベント タイムラインからプログラミング データにアクセスする

イベント タイムラインを使用して、プログラミング変更が検出されたイベントのタイムラインを表示します。

  1. OT センサー コンソールにサインインし、[イベント タイムライン] を選択します。

  2. DeltaV などのテキスト ベースのプログラミング プロトコルを使用して、デバイスのイベント タイムラインをフィルターします。

  3. 分析するイベントを選択して右側のイベントの詳細ウィンドウを開き、[プログラミング タイムライン] を選択します。

プログラミングの詳細を表示する

[プログラミング タイムライン] タブには、プログラミングされた各デバイスの詳細が表示されます。 イベントとファイルを選択すると、右側に完全なプログラミングの詳細が表示されます。 [プログラミング タイムライン] タブで、次の操作を行います。

  • [最近のイベント] 領域には、OT センサーによって検出された最新の 50 個のイベントが一覧表示されます。 イベント期間の上にマウス ポインターを移動し、星を選択してイベントを重要なイベントとしてマークします。

  • [ファイル] 領域には、選択したデバイスで検出されたプログラミング ファイルが一覧表示されます。 OT センサーでは、デバイスごとに最大 300 個のファイルを表示できます。各ファイルの最大サイズは 15 MB です。 [ファイル] 領域には、各ファイルの名前とサイズと、発生したプログラミング イベントを示す次のいずれかの状態が一覧表示されます。

    • 追加済み: エンドポイントにプログラミング ファイルが追加された
    • 更新済み: エンドポイントでプログラミング ファイルが更新された
    • 削除済み: プログラミング ファイルがエンドポイントから削除された
    • 不明: プログラミング ファイルの変更が検出されなかった

  • プログラミング ファイルが右側で開かれると、プログラムされたデバイスがプログラムされた資産として一覧表示されます。 1 つのデバイスに対して複数のデバイスによってプログラミング変更が実行されている可能性があります。 変更を加えたデバイスは プログラミング資産として一覧表示され、詳細にはホスト名、変更が行われた日時、およびその時点でデバイスにサインインしていたユーザーが含まれます。

ヒント

[ダウンロード] ボタンを選択して、現在表示されているプログラミング ファイルのコピーをダウンロードします。

次に例を示します。

プログラミング タイムラインでプログラミングの詳細を表示しているスクリーンショット。

プログラミングの詳細ファイルを比較する

この手順では、複数のプログラミング詳細ファイルを比較して不一致を特定したり、疑わしいアクティビティを調査したりする方法について説明します。

ファイルを比較するには:

  1. アラートから、または [デバイス マップ] または [デバイス インベントリ] ページからプログラミング ファイルを開きます。

  2. 最初のファイルを開いた状態で、[比較] ボタンを選択します。

  3. [比較] ウィンドウで、ファイルの横にある [アクション] のスケール アイコンを選択して、比較するファイルを選択します。 次に例を示します。

    [ファイルの比較] ウィンドウのスクリーンショット。

    選択したファイルが新しいウィンドウで開き、最初のファイルと並べて比較できます。 プログラムされたデバイスにインストールされている現在のファイルには、ファイルの上部に Current というラベルが付けられます。

    プログラミング ファイルの比較を並べて表示したスクリーンショット。

    ファイルをスクロールして、プログラミングの詳細とファイル間の違いを確認します。 2 つのファイルの違いは、緑と赤で強調表示されています。

次のステップ

詳しくは、「デバイス情報をセンサーにインポートする」をご覧ください。