Tento text vychází z reálných případů a situací u našich zákazníků. Z bezpečnostních důvodů jsou všechny adresné informace anonymizované a zobecněné.
Profil zákazníka
Zákazník používá moderní Microsoft prostředí, má zkušený IT tým i nasazené nejnovější bezpečnostní nástroje. Přesto při podezřelé aktivitě narážel na stejný problém jako mnoho jiných organizací: data o případných bezpečnostních incidentech sice existují a jsou k dispozici, ale nebyla rychle propojená do jednoho celku dávajícího jasný obraz.
Události z přihlášení, identit, zařízení, e-mailu či z cloudových služeb je možné dohledat. Jenže při incidentu musel IT tým ručně přepínat mezi systémy, skládat časovou osu a odhadovat, co spolu souvisí. Řešení přinesl SecuRadar System4u – z jednotlivých událostí vytvořil srozumitelný bezpečnostní kontext a zpracovává do přehledných reportů a alertů.
Když několik problémů může znamenat jeden incident
Rozhodujícím impulzem byla situace, kdy se během několika hodin objevilo více podezřelých událostí – obchodní partner upozornil na podezřelý e-mail z adresy vašeho zaměstnance. Za chvíli jiný uživatel hlásil problém s otevřením souborů, další zařízení bylo neobvykle zpomalené. A v účtárně se objevil urgentní požadavek na platbu, který vypadal jako interní pokyn.
Každá z těchto událostí mohla být vyložena jako samostatná událost, bylo by hledáno řešení, zaměřené na konkrétní, jednotlivý incident. Společný pohled na tyto události však může napovědět, že se jedná například o kompromitovaný účet, zneužití e-mailu či pokus o finanční podvod.
Cíl: méně pátrání, rychlejší rozhodnutí
Zákazník nehledal další izolovaný nástroj. Potřeboval jednotný dohled, který propojí události z Microsoft 365, ostatních cloudových služeb a dalších používaných systémů. Cílem bylo zkrátit čas mezi prvním signálem, omezit ruční práci a rychle přijmout rozhodnutí, co udělat dále. IT tým nechtěl zkoumat další vygenerovaný alert. Potřeboval rychle vědět, zda jde o náhodu nebo o nový bezpečnostní incident s vysokou prioritou.
Proč SecuRadar System4u
SecuRadar navázal na prostředí, které zákazník již používá: Microsoft 365, Entra ID, Defender, Intune a Microsoft Sentinel. Nejde o další oddělený ekosystém, ale o bezpečnostní vrstvu nad existujícími daty.
Implementace začala Security Assessmentem – bezpečnostním auditem, který popsal výchozí stav, pojmenoval rizika a určil priority. Na jeho základě byla nasazena edice SecuRadar Complete – kromě technického popisu události sám navrhuje příslušné kroky a opatření, která má zodpovědný IT tým provést. Vedle nasazené technologie je jako součást služby zásadní i technická podpora System4u, která zpětně analyzuje proběhlé události a případně koriguje přijatá opatření.
Jak se změnila práce IT po nasazení SecuRadar System4u
Po nasazení už podezřelé přihlášení nebylo jen samostatným záznamem v logu, SecuRadar pomohl tyto signály spojit do jednoho incidentu.
IT tým tak neřešil izolované upozornění, ale konkrétní scénář. Viděl, koho se týká, jakou má prioritu a které související události je potřeba ověřit. Místo otázky „co se vlastně stalo?“ se rychleji dostal k otázce „jaký krok uděláme teď?“.
Management zároveň získal srozumitelnější pohled na bezpečnostní stav organizace. Bezpečnost už nebyla jen sada technických výpisů, ale lépe uchopitelný přehled rizik, priorit a doporučení.
