Пилотное внедрение Microsoft Defender for Endpoints в ERG (Казахстан)

ERG Eurasian Resources Group — Kazakhstan

Пилотное внедрение Microsoft Defender for Endpoints в ERG (Казахстан)

ERG Eurasian Resources Group (ERG) привлекла Awara IT для проведения контролируемого тестового развертывания Microsoft Defender for Endpoints (план 2) на репрезентативных конечных точках в Казахстане. Цель заключалась в оценке эффективности политик EPP/EDR в операционных условиях, характерных для горнодобывающей и металлургической промышленности, а также в проверке интеграции с существующей ArcSight SIEM.

Awara IT реализовала подключение конечных точек, базовые политики EPP/EDR, автоматизированные сценарии расследований и безопасный канал пересылки событий в ArcSight. Пилотное внедрение подтвердило возможности системы, сократило время обнаружения и реагирования в рамках тестового охвата и позволило получить проверенную модель интеграции, которую ERG может использовать для поэтапного развертывания в других регионах.

Клиент / Индустрия / Страна

ERG Eurasian Resources Group — это диверсифицированная компания по добыче природных ресурсов, работающая в горнодобывающей и металлургической отраслях, с крупными операциями в Казахстане. Как крупный региональный работодатель и производитель, ERG требует контроля безопасности корпоративного уровня для защиты конечных точек производственных технологий и корпоративных устройств на рассредоточенных и иногда удаленных объектах.

Бизнес-задача

ERG оценивала защиту конечных точек нового поколения для замены устаревшего антивируса и внедрения обнаружения и реагирования на конечных точках (EDR) на различных корпоративных и производственных устройствах. Ключевые проблемы включали ограниченную видимость конечных точек на удаленных объектах, высокий уровень ложных срабатываний от существующих инструментов и длительные циклы расследования инцидентов, которые задерживали локализацию в условиях, когда операционные сбои несут значительные риски для безопасности и финансовые риски.

Дополнительным ограничением были существующие инвестиции в операции безопасности ArcSight SIEM: любое новое решение для конечных точек должно было надежно доставлять контекстную телеметрию и оповещения в ArcSight, не перегружая аналитиков. ERG требовала тестирования, которое подтвердило бы эффективность обнаружения, настройку политик и интеграцию SIEM, прежде чем разрешить более широкое развертывание.

Почему выбрали Dynamics 365

Критерии выбора определялись технической пригодностью, возможностью поддержки и интеграцией с Microsoft-ориентированной инфраструктурой ERG. Microsoft Defender for Endpoints (план 2) был выбран за его нативную интеграцию с телеметрией M365 Security E5, централизованное управление политиками, функции автоматического расследования и исправления, а также поддерживаемые10150 поставщиком коннекторы к основным SIEM-системам, таким как ArcSight.

Для ERG, которая использует другие рабочие нагрузки Microsoft, включая бизнес-системы, потенциально основанные на Dynamics 365 в некоторых корпоративных функциях, согласование безопасности конечных точек со стеком безопасности Microsoft снижает накладные расходы на управление и упрощает контроль на основе идентификации. Совместный опыт Awara IT в области безопасности Microsoft и проектов Dynamics 365 гарантировал, что пилотный проект учел последствия для доступности бизнес-приложений, защиты данных и сигналов идентификации, связанных с Azure AD.

Внедрённые модули

  • Подключение конечных точек и базовое усиление защиты (репрезентативные устройства Windows, macOS)
  • Настройка и применение политик EPP/EDR (возможности плана 2)
  • Настройка управления угрозами и уязвимостями (TVM) для рабочих нагрузок, специфичных для горнодобывающей отрасли
  • Сценарии автоматического расследования и исправления (AIR) для приоритетных оповещений
  • Правила сокращения поверхности атаки и базовые показатели контроля приложений
  • Пользовательские правила оповещения и поисковые запросы для оперативной телеметрии

Интеграции

  • ArcSight SIEM (пересылка событий с использованием паттернов CEF/SmartConnector)
  • Azure Active Directory для идентификации устройств и сигналов условного доступа
  • Агрегация телеметрии M365 Security E5 для кросс-сигнальной корреляции
  • Существующие рабочие процессы по обработке заявок и инцидентов (поток обогащения инцидентов)

Локализация и соответствие

При планировании развертывания учитывались нормативно-правовая база Казахстана и внутренние политики соответствия ERG. Были оценены сбор телеметрии, периоды хранения и трансграничная передача журналов для обеспечения соответствия местным требованиям по обработке данных и договорным обязательствам ERG. При необходимости, пересылка событий была настроена так, чтобы ограничить передачу персонально идентифицируемой информации и соблюсти правила классификации данных ERG.

Вся пользовательская документация и операционные руководства были предоставлены на английском и русском языках, а настройки политик были согласованы с командами безопасности и юристами ERG до активации для обеспечения нормативного и операционного соответствия в контексте горнодобывающей промышленности.

Бизнес-ценность

Пилотный проект предоставил проверенные паттерны обнаружения и реагирования, которые ERG может масштабировать с уверенностью. Немедленные выгоды включали почти полную видимость конечных точек в рамках пилотного проекта, более быстрое обнаружение и локализацию инцидентов на конечных точках, а также стабильный, документированный паттерн интеграции с ArcSight, который сохраняет существующие рабочие процессы аналитиков. Эти результаты снижают операционные риски и поддерживают соответствие ERG нормативным требованиям.

Помимо технических результатов, Awara IT предоставила ERG поэтапный план развертывания, шаблоны политик и сценарии SOC для внедрения Defender for Endpoints на дополнительных объектах. Пилотный проект снизил неопределенность в отношении облачных средств контроля безопасности и создал повторяемый шаблон для безопасного расширения по всему Казахстану и соседним регионам.

Пилотный проект доказал работоспособность технологии Defender в нашей операционной среде и дал нам ясный, низкорискованный путь к масштабированию. Команда Awara IT обеспечила интеграцию и настройку, которые соответствовали нашим требованиям SOC и комплаенса. — Айгерим Тулегенова, Руководитель по информационной безопасности, ERG Eurasian Resources Group