Proactive Security with a SOC and Cloud SIEM for Goodvalley

Ziele: Bereitstellung eines SOC mit einem effizienten SIEM-System zur Überwachung von Datensicherheitsbedrohungen innerhalb der gesamten IT-Infrastruktur. Entwicklung und Pflege einer effizienten Cybersicherheitsstrategie und Bereitstellung von mehrstufigem Support für die Sicherheitsüberwachung und das Management von Zwischenfällen.    

Lösung: Die Sicherheitsexperten von Infopulse entwickelten ein verwaltetes SOC auf der Basis von Microsoft Sentinel und sorgten für eine dedizierte Sicherheitswartung, die die gesamte IT-Infrastruktur des Kunden an mehreren Standorten, einschließlich der Cloud, abdeckt.    

Vorteile: Mehr Cybersicherheit, proaktives Sicherheitsrisikomanagement, umfassender Schutz der gesamten IT-Infrastruktur, einschließlich Cloud-Ressourcen, Automatisierung der Bearbeitung wiederkehrender Probleme, Senkung der Kosten für den Sicherheitsbetrieb und kontinuierliche Verbesserung der Sicherheitssysteme, um den sich entwickelnden Bedrohungen einen Schritt voraus zu sein.    

Erbrachte Dienstleistungen: Cybersecurity, Security Operations Center (SOC), SIEM & SOAR, Sicherheitsbewertung, Microsoft Sentinel    

Infopulse hat eine leistungsstarke, auf Microsoft Sentinel basierende Managed SOC-Lösung implementiert, die IT--Infrastrukturkomponenten von Goodvalley zur kontinuierlichen Sicherheitsüberwachung mit SIEM verbindet.

Neben der mehrschichtigen Sicherheitswartung und -unterstützung wird unser Kunde von folgenden Vorteilen profitieren:

• Deutlich verbessertes Risikomanagement und Stabilität der Cybersicherheit
• Kontinuierliche strategische Verbesserungen der Cybersicherheitslage des Unternehmens
• Proaktiver Ansatz zur Bearbeitung von Cybersicherheitsvorfällen
• Geringere Kosten für IT-Infrastruktur und Sicherheitsmaßnahmen

Dank der gemeinsamen Anstrengungen der Sicherheitsexperten von Infopulse und der IT-Abteilung von Goodvalley erreichte das Agrar- und Lebensmittelunternehmen ein stabiles, hohes Niveau an Cybersicherheitseffizienz und konnte kritische Sicherheitsvorfälle vermeiden.

Technische Informationen

Nach eingehender Untersuchung der Kundenbedürfnisse schlug Infopulse den Einsatz von Microsoft Sentinel vor – eine strategische Entscheidung, da die IT-Infrastruktur von Goodvalley hauptsächlich auf dem Microsoft-Ökosystem basiert.     

Wir haben ein Pilotprojekt initiiert, um die Möglichkeiten von Microsoft Sentinel zu demonstrieren, damit der Kunde alle Vorteile der vorgeschlagenen Lösung in Aktion sehen konnte. Für das Pilotprojekt stellte unser Partner Microsoft alle erforderlichen Lizenzen kostenlos zur Verfügung, sodass Goodvalley die Funktionsfähigkeit der Lösung ohne jegliche Kosten prüfen konnte.

Nach dem erfolgreichen Pilotprojekt haben wir das Projekt in vollem Umfang umgesetzt, das folgende Punkte umfasst:

• Durchführung der SIEM-Systemintegration durch Verbindung aller lokalen und Cloud-Ressourcen. Auf der Grundlage der Ergebnisse des Pilotprojekts berechneten wir das erforderliche Budget und schlugen spezifische Netzoptimierungen vor, um wettbewerbsfähige Preise anbieten zu können.
• Wir implementierten die Microsoft Sentinel-Lösung und stellten Cloud-Dienste wie Azure, Microsoft 365, verschiedene SaaS-Tools usw. bereit. Anschließend haben wir die Cortex XDR- und Fortinet-Firewalls sowie die übrige Infrastruktur mit dem SOC verbunden.
• Aufstellung von Analyseregeln zur Erkennung von Sicherheitsvorfällen und Aktivierung geeigneter Verarbeitungsmechanismen. Dies ermöglichte es, echte Vorfälle aus allen empfangenen Systemwarnungen herauszufiltern und sie korrekt zu entschärfen, was eine effiziente SOC-Leistung sicherstellt.
• Die SIEM-Überwachung ergab unsachgemäße Netzwerkeinstellungen. Deshalb gaben wir Empfehlungen zur Netzwerkoptimierung, die es Goodvalley ermöglichten, die Arbeitslast der Infrastruktur zu verringern und somit Ressourcen und Kosten zu sparen.
• Reduzierung der übermäßigen Datenprotokolle. Um die Datenmengen zu reduzieren, die keinen praktischen Wert für die Sicherheit haben, haben wir unnötige Daten herausgefiltert und Daten aus allen analysierten Quellen aggregiert. So konnten wir die Menge der in der Cloud gespeicherten Daten deutlich verringern, ohne ihre Aussagekraft zu beeinträchtigen.

Die Ersteinrichtung und Bereitstellung des SOC dauerte ca. 3 Monate. Sobald wir die ersten Überwachungsprotokolle erhalten hatten, begannen wir mit der Umsetzung von Verbesserungen der Sicherheit und der IT-Infrastruktur. Wir haben proaktiv potenzielle Schwachstellen identifiziert und behoben und einen nahtlosen Übergang von der vorherigen Lösung ohne Unterbrechungen sichergestellt.

Nach der anfänglichen Implementierungsphase begann unser engagiertes SOC-Team mit der umfassenden „Security-as-a-Service“-Wartung und Unterstützung auf mehreren Ebenen:

• Ebene 0: umfasst die automatische Verarbeitung von Vorfällen zur Entschärfung wiederkehrender Sicherheitsfälle mit geringer Auswirkung.
• Ebene 1: Die erste Alarmanalyse wird von zuvor erstellten Playbooks durchgeführt. Der Dienst wird von einem Team von Sicherheitsspezialisten in der Ukraine und der EU erbracht.
• Ebene2/3: Bearbeitung untypischer und komplexer Vorfälle. Diese wird von zwei eigens eingesetzten Spezialisten durchgeführt. Nach der Bearbeitung jedes solchen Vorfalls werden Anweisungen für L1-Spezialisten erstellt, um ähnliche Alarme in Zukunft zu bearbeiten, wenn solche Alarme auftreten.
• Forensischer Scan: Detaillierte Untersuchung und Dokumentation komplizierter Vorfälle mit den größten möglichen Auswirkungen. Glücklicherweise hatte der Kunde während unserer Zusammenarbeit keine derartigen Sicherheitsvorfälle.

Wir haben das SOC-Alarmsystem auch in das interne Ticketing-System des Kunden integriert, so dass die IT-Spezialisten des Kunden vollen Überblick haben und die Sicherheitsaufgaben problemlos verwalten können.

Das Projekt ist noch nicht abgeschlossen. In wöchentlichen Sitzungen wird Goodvalley über die Leistung des SOC informiert, es werden Verbesserungsvorschläge gemacht und alle anderen Aspekte der Datensicherheit besprochen.