Microsoft Defender for Endpoints: πιλοτικό πρόγραμμα στην ERG (Καζακστάν)

Η ERG Eurasian Resources Group (ERG) ανέθεσε στην Awara IT ένα ελεγχόμενο πρόγραμμα δοκιμαστικής ανάπτυξης του Microsoft Defender for Endpoints (Πρόγραμμα 2) σε αντιπροσωπευτικά περιβάλλοντα τελικών σημείων στο Καζακστάν. Στόχος ήταν η αξιολόγηση της αποτελεσματικότητας της πολιτικής EPP/EDR υπό τις λειτουργικές συνθήκες που υπάρχουν σε δραστηριότητες εξόρυξης και μεταλλουργίας και η επικύρωση της ενσωμάτωσης με το υπάρχον ArcSight SIEM.

Η Awara IT εφάρμοσε ενσωμάτωση τελικών σημείων, βασικές γραμμές πολιτικής EPP/EDR, αυτοματοποιημένα εγχειρίδια διερεύνησης και μια ασφαλή γραμμή προώθησης συμβάντων στο ArcSight. Το πιλοτικό πρόγραμμα επιβεβαίωσε τις δυνατότητες, μείωσε τους χρόνους ανίχνευσης και απόκρισης στο πεδίο δοκιμής και παρήγαγε ένα επικυρωμένο μοτίβο ενσωμάτωσης που η ERG μπορεί να χρησιμοποιήσει για σταδιακή ανάπτυξη σε άλλες περιοχές.

Πελάτης / Κλάδος / Χώρα

Η ERG Eurasian Resources Group είναι μια διαφοροποιημένη εταιρεία φυσικών πόρων που δραστηριοποιείται στον τομέα της εξόρυξης και της μεταλλουργίας με σημαντικές δραστηριότητες στο Καζακστάν. Ως μεγάλος περιφερειακός εργοδότης και παραγωγός, η ERG απαιτεί εταιρικούς ελέγχους ασφαλείας για την προστασία των τελικών σημείων λειτουργικής τεχνολογίας και των εταιρικών συσκευών σε διάσπαρτους και μερικές φορές απομακρυσμένους χώρους.

Επιχειρηματική πρόκληση

Η ERG αξιολογούσε την προστασία τελικών σημείων επόμενης γενιάς για να αντικαταστήσει το παλαιού τύπου antivirus και να εισαγάγει την ανίχνευση και απόκριση τελικών σημείων (EDR) σε μια μίξη εταιρικών και λειτουργικών συσκευών. Βασικά προβλήματα περιλάμβαναν περιορισμένη ορατότητα τελικών σημείων σε απομακρυσμένες τοποθεσίες, υψηλά ποσοστά ψευδώς θετικών ανιχνεύσεων από τα υπάρχοντα εργαλεία και μεγάλους κύκλους διερεύνησης περιστατικών που καθυστέρησαν τον περιορισμό σε ένα περιβάλλον όπου οι λειτουργικές διακοπές φέρουν σημαντικό κίνδυνο ασφάλειας και οικονομικό.

Ένας επιπλέον περιορισμός ήταν η υπάρχουσα επένδυση σε λειτουργίες ασφαλείας στο ArcSight SIEM: οποιαδήποτε νέα λύση τελικών σημείων έπρεπε να παραδίδει αξιόπιστα τηλεμετρία περιβάλλοντος και ειδοποιήσεις στο ArcSight χωρίς να υπερφορτώνει τους αναλυτές. Η ERG απαιτούσε μια δοκιμή που θα επικύρωνε την αποτελεσματικότητα ανίχνευσης, τη ρύθμιση πολιτικών και την ενσωμάτωση SIEM πριν από την έγκριση μιας ευρύτερης ανάπτυξης.

Γιατί επιλέχθηκε το Dynamics 365

Τα κριτήρια επιλογής καθορίστηκαν από την τεχνική καταλληλότητα, την υποστηριξιμότητα και την ενσωμάτωση με το Microsoft-centric περιβάλλον της ERG. Το Microsoft Defender for Endpoints (Πρόγραμμα 2) επιλέχθηκε για την εγγενή ενσωμάτωσή του με την τηλεμετρία M365 Security E5, την κεντρική διαχείριση πολιτικών, τις αυτοματοποιημένες δυνατότητες διερεύνησης και αποκατάστασης, και τους υποστηριζόμενους από τον προμηθευτή συνδέσμους σε μεγάλα SIEM όπως το ArcSight.

Για την ERG, η οποία εκτελεί άλλα Microsoft workloads, συμπεριλαμβανομένων επιχειρηματικών συστημάτων που ενδέχεται να βασίζονται σε Dynamics 365 σε ορισμένες εταιρικές λειτουργίες, η ευθυγράμμιση της ασφάλειας τελικών σημείων με τη στοίβα ασφαλείας της Microsoft μειώνει τα γενικά έξοδα διαχείρισης και απλοποιεί τους ελέγχους βασισμένους στην ταυτότητα. Η συνδυασμένη εμπειρία της Awara IT σε έργα ασφάλειας Microsoft και Dynamics 365 διασφάλισε ότι το πιλοτικό πρόγραμμα έλαβε υπόψη τις επιπτώσεις στη διαθεσιμότητα των επιχειρηματικών εφαρμογών, την προστασία δεδομένων και τα σήματα ταυτότητας που συνδέονται με το Azure AD.

Υλοποιημένες ενότητες

• Ενσωμάτωση τελικών σημείων και ενίσχυση βασικής γραμμής (αντιπροσωπευτικές συσκευές Windows, macOS)
• Διαμόρφωση και επιβολή πολιτικών EPP/EDR (δυνατότητες Προγράμματος 2)
• Ρύθμιση Threat & Vulnerability Management (TVM) για ειδικά για την εξόρυξη workloads
• Automated Investigation & Remediation (AIR) playbooks για ειδοποιήσεις προτεραιότητας
• Κανόνες μείωσης επιφάνειας επίθεσης και βασικές γραμμές ελέγχου εφαρμογών
• Προσαρμοσμένοι κανόνες ειδοποιήσεων και ερωτήματα hunting για λειτουργική τηλεμετρία

Ενσωματώσεις

• ArcSight SIEM (προώθηση συμβάντων χρησιμοποιώντας μοτίβα CEF/SmartConnector)
• Azure Active Directory για την ταυτότητα συσκευής και σήματα υπό όρους πρόσβασης
• Συνάθροιση τηλεμετρίας M365 Security E5 για συσχέτιση διασταυρούμενων σημάτων
• Υπάρχουσες ροές εργασιών ticketing και διαχείρισης περιστατικών (τροφή εμπλουτισμού περιστατικών)

Τοπική προσαρμογή & συμμόρφωση

Ο σχεδιασμός ανάπτυξης έλαβε υπόψη το ρυθμιστικό πλαίσιο του Καζακστάν και την εσωτερική πολιτική συμμόρφωσης της ERG. Η συλλογή τηλεμετρίας, οι περίοδοι διατήρησης και οι διασυνοριακές μεταφορές αρχείων καταγραφής αξιολογήθηκαν για να διασφαλιστεί η ευθυγράμμιση με τις τοπικές απαιτήσεις χειρισμού δεδομένων και τις συμβατικές υποχρεώσεις της ERG. Όπου απαιτήθηκε, η προώθηση γεγονότων διαμορφώθηκε ώστε να περιορίζονται τα προσωπικά αναγνωρίσιμα στοιχεία και να τηρούνται οι κανόνες ταξινόμησης δεδομένων της ERG.

Όλη η τεκμηρίωση που απευθύνεται στους χρήστες και τα λειτουργικά εγχειρίδια παρασχέθηκαν στα Αγγλικά και τα Ρωσικά, και οι ρυθμίσεις πολιτικής συμφωνήθηκαν με τις ομάδες ασφαλείας και νομικών της ERG πριν από την ενεργοποίηση για να διασφαλιστεί η κανονιστική και λειτουργική συμμόρφωση στο πλαίσιο της εξόρυξης.

Επιχειρηματική αξία

Το πιλοτικό πρόγραμμα παρείχε επικυρωμένα μοτίβα ανίχνευσης και απόκρισης που η ERG μπορεί να κλιμακώσει με εμπιστοσύνη. Τα άμεσα οφέλη περιλάμβαναν σχεδόν πλήρη ορατότητα τελικών σημείων στο πιλοτικό πεδίο, ταχύτερη ανίχνευση και περιορισμό περιστατικών τελικών σημείων και ένα σταθερό, τεκμηριωμένο μοτίβο ενσωμάτωσης με το ArcSight που διατηρεί τις υπάρχουσες ροές εργασιών των αναλυτών. Αυτά τα αποτελέσματα μειώνουν τον επιχειρησιακό κίνδυνο και υποστηρίζουν τη στάση συμμόρφωσης της ERG.

Πέρα από τα τεχνικά αποτελέσματα, η Awara IT παρείχε στην ERG ένα σταδιακό σχέδιο ανάπτυξης, πρότυπα πολιτικών και εγχειρίδια SOC για την επιχειρησιακή λειτουργία του Defender for Endpoints σε πρόσθετες εγκαταστάσεις. Το πιλοτικό πρόγραμμα μείωσε την αβεβαιότητα σχετικά με τους εγγενείς στο cloud ελέγχους ασφαλείας και δημιούργησε ένα επαναλαμβανόμενο πρότυπο για ασφαλή επέκταση σε όλο το Καζακστάν και τις όμορες περιοχές.