ERG Eurasian Resources Group — Kazakhstan

ERG Eurasian Resources Group (ERG) привлекла Awara IT для проведения контролируемого тестового развертывания Microsoft Defender for Endpoints (план 2) на репрезентативных конечных точках в Казахстане. Цель заключалась в оценке эффективности политик EPP/EDR в операционных условиях, характерных для горнодобывающей и металлургической промышленности, а также в проверке интеграции с существующей ArcSight SIEM.
Awara IT реализовала подключение конечных точек, базовые политики EPP/EDR, автоматизированные сценарии расследований и безопасный канал пересылки событий в ArcSight. Пилотное внедрение подтвердило возможности системы, сократило время обнаружения и реагирования в рамках тестового охвата и позволило получить проверенную модель интеграции, которую ERG может использовать для поэтапного развертывания в других регионах.
ERG Eurasian Resources Group — это диверсифицированная компания по добыче природных ресурсов, работающая в горнодобывающей и металлургической отраслях, с крупными операциями в Казахстане. Как крупный региональный работодатель и производитель, ERG требует контроля безопасности корпоративного уровня для защиты конечных точек производственных технологий и корпоративных устройств на рассредоточенных и иногда удаленных объектах.
ERG оценивала защиту конечных точек нового поколения для замены устаревшего антивируса и внедрения обнаружения и реагирования на конечных точках (EDR) на различных корпоративных и производственных устройствах. Ключевые проблемы включали ограниченную видимость конечных точек на удаленных объектах, высокий уровень ложных срабатываний от существующих инструментов и длительные циклы расследования инцидентов, которые задерживали локализацию в условиях, когда операционные сбои несут значительные риски для безопасности и финансовые риски.
Дополнительным ограничением были существующие инвестиции в операции безопасности ArcSight SIEM: любое новое решение для конечных точек должно было надежно доставлять контекстную телеметрию и оповещения в ArcSight, не перегружая аналитиков. ERG требовала тестирования, которое подтвердило бы эффективность обнаружения, настройку политик и интеграцию SIEM, прежде чем разрешить более широкое развертывание.
Критерии выбора определялись технической пригодностью, возможностью поддержки и интеграцией с Microsoft-ориентированной инфраструктурой ERG. Microsoft Defender for Endpoints (план 2) был выбран за его нативную интеграцию с телеметрией M365 Security E5, централизованное управление политиками, функции автоматического расследования и исправления, а также поддерживаемые10150 поставщиком коннекторы к основным SIEM-системам, таким как ArcSight.
Для ERG, которая использует другие рабочие нагрузки Microsoft, включая бизнес-системы, потенциально основанные на Dynamics 365 в некоторых корпоративных функциях, согласование безопасности конечных точек со стеком безопасности Microsoft снижает накладные расходы на управление и упрощает контроль на основе идентификации. Совместный опыт Awara IT в области безопасности Microsoft и проектов Dynamics 365 гарантировал, что пилотный проект учел последствия для доступности бизнес-приложений, защиты данных и сигналов идентификации, связанных с Azure AD.
При планировании развертывания учитывались нормативно-правовая база Казахстана и внутренние политики соответствия ERG. Были оценены сбор телеметрии, периоды хранения и трансграничная передача журналов для обеспечения соответствия местным требованиям по обработке данных и договорным обязательствам ERG. При необходимости, пересылка событий была настроена так, чтобы ограничить передачу персонально идентифицируемой информации и соблюсти правила классификации данных ERG.
Вся пользовательская документация и операционные руководства были предоставлены на английском и русском языках, а настройки политик были согласованы с командами безопасности и юристами ERG до активации для обеспечения нормативного и операционного соответствия в контексте горнодобывающей промышленности.
Пилотный проект предоставил проверенные паттерны обнаружения и реагирования, которые ERG может масштабировать с уверенностью. Немедленные выгоды включали почти полную видимость конечных точек в рамках пилотного проекта, более быстрое обнаружение и локализацию инцидентов на конечных точках, а также стабильный, документированный паттерн интеграции с ArcSight, который сохраняет существующие рабочие процессы аналитиков. Эти результаты снижают операционные риски и поддерживают соответствие ERG нормативным требованиям.
Помимо технических результатов, Awara IT предоставила ERG поэтапный план развертывания, шаблоны политик и сценарии SOC для внедрения Defender for Endpoints на дополнительных объектах. Пилотный проект снизил неопределенность в отношении облачных средств контроля безопасности и создал повторяемый шаблон для безопасного расширения по всему Казахстану и соседним регионам.
Пилотный проект доказал работоспособность технологии Defender в нашей операционной среде и дал нам ясный, низкорискованный путь к масштабированию. Команда Awara IT обеспечила интеграцию и настройку, которые соответствовали нашим требованиям SOC и комплаенса. — Айгерим Тулегенова, Руководитель по информационной безопасности, ERG Eurasian Resources Group