А какие команды? Управление? Сервисные?

Мне сложно это прокомментировать. Я вижу это в интерфейсе как “block” “modbus” “write_single_register” “0” “9”

Да как бы разобрать синтаксис команд несложно. Для этого даже никаких исходных данных в общем случае не надо (см. ARPE). А вот понять, что за ними стоит (семантику) уже сложнее

Не так погружён в специфику, я более верхнеуровневыми вопросами занимаюсь. Помучаю завтра коллег )

Ну коллеги на ИБ АСУ ТП КВО показывали прототип, который определяет синтаксис произвольного протокола. Основная реакция: "интересно, а зачем это? "

Говоря проще, если разбор протокола не мапится на логику техпроцесса и скада проект, то от того что команды разбираются мало практической пользы.

А что, не нужно? А как нужно?

А, да, это я понимаю

Да все к тому же: события собираются для того, чтобы видеть изменения состояний системы, но нужно ещё автоматически определять, что состояние небезопасное

Вот сименс молодцы со своими профилями profinet))

Если мы дадим инструмент, где вы заранее опишете, какие события потенциально несут угрозу и будете получать уведомления по таким сработкам - это то, что нужно?

Дмитрий пишет это у нас должно быть

Ну вот вкратце: https://us.profinet.com/profinet-profiles/

Дак знал бы кто, что за события нужны и важны и как их интерпретировать...

Понял вас)

А какие события? Из телеметрии техьпрлцесса вы события иб не вытащите, их там нет.