Managed Security auf Basis des Microsoft Security Stacks

  • [Industrie] High-Tech
  • [Mitarbeiter] 9.300
  • [Dauer] 4 Monate

Highlights

  • Managed Security im Sinne eines Security Operations Center (SOC)
  • Konsolidierung der Security & Compliance Lösungen
  • Bekämpfung von Schatten-IT
  • IT-Security Strategie auch für die Zusammenarbeit mit Externen (Partner und Kunden)
  • Konzernweites Schutzkonzept für den Zugriff auf Unternehmensdaten / Schutz sensibler Daten
  • Absichern des Zugriffs auf Unternehmensdaten auch von privaten Endgeräten
  • TCO & ROI Analyse
  • Lizenzkostenoptimierung und Konsolidierung in einem Enterprise Agreement mit Microsoft

Herausforderungen

In den 1960er Jahre gegründet war „Qualität“ vom ersten Tag an ein Grundsatz des Unternehmens. Nach wie vor werden 75% der Produkte in den Standorten in Deutschland entwickelt und hergestellt. In der HighTech Elektronik-Branche ist es allerdings auch wichtig, kurze Wege zum Kunden zu haben. Das gilt vor allem für den Bereich Service & Support. Deswegen ist das Unternehmen mit seinen ca. 9.300 Mitarbeitern inzwischen in über 93 Ländern der Welt vertreten.

Nicht nur in wirtschaftlicher Hinsicht ist es uns wichtig, Risiken für uns zu erkennen und zu begrenzen. Das gilt auch für unsere IT-Systeme, erläutert das Management des Kunden uns gegenüber.

 

Heute und in Zukunft geht es nicht mehr nur darum, dass ein Virus oder eine Malware auf einem Laptop erkannt und entfernt wird. Immer komplexer und raffinierter werdende Schadsoftware und Attacken müssen erkannt und in einem ganzheitlichen Ansatz verhindert werden - So formuliert der CISO seine Anforderungen an die neue IT-Security Lösung.

 

Dieser Designgrundsatz war dann auch der Maßstab für die neue IT-Security Strategie basierend auf dem Microsoft Security Stack. Dabei wurde unter anderem mit der Lösung Microsoft-Cloud-App-Security und dem Microsoft-365-Security-Center ein konzernweiter Hub für alle IT-Sicherheitsaspekte eingeführt.

Das Backend dafür ist der Microsoft-Securit-Graph. Mit den Daten und Signalen aus dem Graphen lassen sich nun auch proaktive Maßnahmen gestalten, die verhindern, dass Incidents überhaupt erst entstehen.

Beispiel: Installiert einem Anwender eine „Potenziell unerwünschte Anwendungen“ (PUA)* auf seinem Laptop, erhält er automatisch einen Hinweis nur Programme aus dem Software-Portal des Unternehmens zu nutzen oder neue Software über den Helpdesk anzufragen. Diese Lösung ist über das Zusammenspiel von Defender-for-Endpoint „Unwanted Software Alerts“ und Azure-Logic-Apps umgesetzt.

* Die Schutzfunktion für potenziell unerwünschte Anwendungen (PUA) in Microsoft Defender Antivirus kann PUAs identifizieren und blockieren. Unerwünschte Anwendungen können so nicht mehr heruntergeladen und installiert werden. Diese Anwendungen werden nicht als Viren, Malware oder andere Arten von Bedrohungen angesehen, können aber Aktionen auf Endgeräten durchführen, die deren Leistung oder Nutzung beeinträchtigen.

Ziele und Lösungen

Ziele und Lösungen

Zusammen mit dem Kunden entwickelten wir die Strategie für ein neues und innovatives IT-Security Setup auf Basis der Microsoft Lösungen. Neben den technischen Aspekten wie der Konsolidierung und Umstellung der gewachsenen Systemlandschaft war eines der Hauptziele, die täglichen Arbeitsprozesse möglichst wenig zu stören. Schatten-IT und immer komplexer werdende Angriffsszenarien waren ebenfalls ein Thema auf unserer Liste.

Kunde: Wie kann eine Migration aussehen, ohne den laufenden Betrieb zu stören?

Wir können auch nicht kontrollieren welche Endgeräte und Apps Partnern und Kunden nutzen, war eine der Sorgen, die wir im Design Sprint zum Thema IT-Security herausgearbeitet haben.

Die Lösungen:

  • Kopplung der bereits etablierten Zscaler Lösung des Kunden mit Microsoft-Cloud-App-Security
  • Teilautomatisierte Maßnahmen basierend auf Warnungen im Microsoft-Defender-for-Endpoint
  • Prozesse und Abläufe für den neuen IT-Security Betrieb
  • Sanktionieren unerwünschter Apps in Microsoft-Cloud-App-Security und die Synchronisation dieser Einstellungen mit Microsoft-Defender-for-Endpoint
  • Austausch der aktuellen Antiviruslösung gegen Microsoft-Defender-for-Endpoint
  • Device Management inklusive der Portierung von AD-GPO´s nach Microsoft-Endpoint-Manager (Intune)
  • Migration von Microsoft-Advanced-Threat-Analytics (on-prem Fokus) zu Microsoft-Defender-for-Identity
  • Erstellen von KQL Abfragen für wiederkehrenden Szenarien

Die Kopplung der IT-Security Lösungen an das Ticketsystem ist einer der nächsten Schritte im Projekt. So sollen automatsch Tickets erstellt werden, wenn eine Bedrohung erkannt wird.

Benefits

Das IT-Security Setup ist nun nicht mehr davon abhängig, ob ein Zugriff über die Firmenfirewall läuft, oder ein Laptop des Unternehmens genutzt wird. Die Anforderungen der modernen Arbeitswelt und gerade auch die Herausforderungen mit HOME Office und mobilem Arbeiten hat das Unternehmen nun im Griff. Die Lösungen verschiedener Anbieter wurden in einem ganzheitlichen Ansatz konsolidiert.

  • Warnungen aus Microsoft-365-Defender, Defender-for-Endpoint, Defender-for-Identity und Cloud-App-Security führen direkt zu Maßnahmen
  • Endanwender werden informiert, wenn es einen Vorfall auf ihrem Endgerät gab und es werden ihnen direkt und automatisch Lösungen und Hilfe angeboten
  • Der SOC kann im Detail und proaktiv arbeiten und wenn nötig über die Funktion „Hunting“ detailliert analysieren was vorgefallen ist, wie sich eine Schadsoftware im Unternehmen ausgebreitet hat und welche Maßnahmen nötig sind, um sie zu beseitigen