2025 ж. 11 нау.·7 мин

EDR антивирустың орнына: 500+ компьютерге таңдау және енгізу

EDR антивирустың орнына: шешімді қалай таңдап, 500+ компьютерге пилот арқылы, саясаттарды орнату, IT оқыту және жалған дабылдарды азайту арқылы енгізуге болады.

EDR антивирустың орнына: 500+ компьютерге таңдау және енгізу

Неліктен бір антивирус енді жетпейді

Классикалық антивирус таныс зиянды файлдарды жақсы ұстайды: қолданыстағы сигнатураларға сәйкес келетін немесе типтік вирусқа ұқсас нәрселер. Бірақ нақты жұмыс орны инциденттері жиі басқа сценарий бойынша өтеді. Қарақшыға міндетті түрде «көрініп тұратын» зиянды файл әкелудің қажеті жоқ. Негізгі мақсаты — жүйеге кіру, бекіну және тыныш қимылдау.

Көбінесе мәселелер қарапайымнан басталады: «бухгалтериядан» келген фишинг-пошта, макросты құжат, заңды утилитаны (PowerShell, қашықтан әкімші құралдары, архиваторлар) іске қосу. Антивирустың көзқарасынан бұл жиі пайдаланушының қалыпты жұмысы сияқты көрінеді. Ал зардаптары кейін білінеді: ұрланған парольдер, поштаға қолжетімділік, баптаулардағы өзгерістер, деректер ағуы.

Парк 500+ ПК-қа жеткенде және филиалдар пайда болғанда, жағдайды тез қазып шығу қиындайды. Әртүрлі ОС нұсқалары, әртүрлі бағдарламалар, қашықтан жұмыс істейтін қолданушылар — IT нақты машинада болған оқиғаларды инцидентке дейін және кейін көруі қиын болады. Нәтижесінде тексеру «қоқыстар бойынша болжамға» айналады: логтар жетпейді, контекст жоқ, уақыт кетеді.

Ең қауіптісі — айқын зиянды файлсыз («fileless») «тыныш» шабуылдар. Антивирус ештеңе таба алмауы мүмкін, себебі зиянды — бұл әрекеттер тізбегі:

  • пайдаланушы жалған бетте пароль енгізеді;
  • шабуылдаушы заңды аккаунтпен кіреді;
  • Windows-тың кіріктірілген құралдарын іске қосады;
  • желі бойынша (lateral movement) құнды жүйелерге қозғалады.

Сондықтан EDR жиі практикалық қажеттілік болады: маңызды тек файлдарды тексеру емес, сонымен қатар соңғы құрылғылардағы әрекеттерді көру, және инцидент өршімей жоюға жылдам жауап беру.

EDR қарапайым тілмен: не және не істейді

EDR-ді компьютерлерге арналған «қара қорап» деп елестетуге болады. Ол жай ғана белгілі вирустарды іздемейді, ол жұмыс станциясында не болғанын тіркеп, шабуыл қайдан басталып, қай жерге ұласқанын тез анықтауға көмектеседі. Солай бола тұра EDR пен классикалық антивирустың бірге жұмыс істеуі жиі болады: AV — базалық қабат, EDR — контекст пен басқарылатын реакция береді.

EDR оқиғалар тізбегін жинайды: қандай процестер іске қосылды, қандай файлдар жасалып немесе өзгертілді, қандай командалар орындалды, желілік байланыстар қайда бағытталды, қандай аккаунттар пайдаланылды. Негізгі айырмашылық — бөлек «сигналдар» емес, байланыстырылған тарих. Мысалы: хат > құжатты ашу > PowerShell пайда болуы > файлды жүктеу > автозапускаға бекіту әрекеті.

Практикада «анықтау» дегеніміз EDR күдікті мінез-құлықты белгілейді, файл жаңа болса да және сигнатурасы болмаса да. «Реагирование» — консольден орындалатын әрекеттер: хостты желіден оқшаулау, процесті тоқтату, файлды карантинге қою, тергеуге арналған артефактілер жинау, сканерлеуді іске қосу.

EDR жасырын инциденттерді табуға, шабуыл тізбегін жылдам талдауға, парк бойынша ұқсас қауіптерді жауып тастауға және баптаулардағы қайталанатын осал жерлерді көруге көмектеседі.

Бірақ EDR-дің де шектеулері бар. Ол жаңартуларды, сақтық көшірмелерді және құқықтарды басқаруды алмастырмайды. Ол процестерді өздігінен «жөндемейді» және саясаттар қатты орнатылса, жалған срабатыванялар болуы мүмкін. 500+ ПК жағдайында табыс көбіне агент орнатудан гөрі күнделікті кім және қалай алерттерді талдайтынына байланысты.

Жобаның мақсаттары мен шеңбері: нақты не жақсартқыңыз келеді

EDR-ге ауысқанда, вендор таңдауынан бастамай, 2–3 айдан кейін қандай нәтиже көргіңіз келетінін анықтаңыз. Оған дейін пилот кездейсоқ алерттер жиынтығына және параметрлер туралы дауларға айналуы мүмкін.

Жақсы тәжірибе — IT мен бизнеске түсінікті 5–8 өлшенетін мақсатты бекіту. Мысалы: анықтау уақытын (MTTD) және реакция уақытын (MTTR) қысқарту, процестердің іске қосылуын және орындалатын файлдардың көздерін көрнекі ету, хостты бүкіл желіні өшірусіз тез оқшаулау, скрипттер мен утилиттерді басқаруды ретке келтіру, пайдаланушы мен ПК бойынша бірыңғай тергеу контурын алу.

Содан кейін шекаралар мен тәуекел аймақтарын анықтаңыз. Олар көбіне бөлімнің көлемінен емес, деректер мен қолжетімдіктерден тәуелді: бухгалтерия (төлемдер), сатып алу (контрагенттер мен құжаттар), әкімшілер (привилегиялар), сервер топтары, терминал фермері. Үлкен паркі бар ұйымдарда, мысалы мемлекеттік секторда немесе денсаулық сақтау саласында, бірден критикалық сегменттерді бөліп, басымдықтарды келісу пайдалы.

Бастапқыда қандай блоктау деңгейі рұқсат етілетіндігін келіспеңіз: бақылау режимі, жұмсақ ескерту немесе қатаң тыйым. Бірінші күннен қатаң режим әдетте қалыптасқан процестерді бұзып, қарсылық тудырады.

Пилот табысының критерийлері мен шешім мерзімін алдын ала келісіңіз:

  • қамту: қандай пайыз ПК және қандай рөлдер қосылған;
  • сапа: жалған срабатыванялар үлесі және талдауға кететін уақыт;
  • тиімділік: қанша инцидент анықталған және қаншалықты жылдам жабылған;
  • шешім: өнім таңдау күні және масштабтау жоспары.

500+ ПК паркі үшін EDR таңдау критерийлері

Парк 500 құрылғыдан асқанда EDR-ді презентацияға қарап емес, эксплуатацияда қалай жұмыс істейтініне қарай таңдайды: жұмыс станцияларда, ноутбуктарда, филиалдарда және желі шектеулері кезінде.

Ең алдымен қамтуды тексеріңіз. Агент сіздің Windows нұсқаларыңызда (және басқа ОС болса) сенімді жұмыс істеуі керек. Ноутбуктар үшін офлайн режим маңызды: оқиғалар жергілікті түрде жиналып, байланыс пайда болғанда жіберілуі қажет. Бұл командировкалар мен даладағы қызметкерлер үшін шешуші.

Кейін тергеу ыңғайлылығын қарастырыңыз. Жақсы EDR инцидент картасын түсінікті береді: не болғаны, қай хостта, қандай оқиғалар тізбегі срабатываниеға әкелгені, және барлық құрылғылар бойынша жылдам іздеу. Егер бір алертті қарауға 30–40 минут кетсе, 500+ масштабта кезек қалыптасады.

Практикалық минимум критерийлері:

  • жылдам әрекет ету құралдары: хостты оқшаулау, процесті аяқтау, карантин, артефактілер жинау;
  • AD, пошта, SIEM және тикет-жүйелерімен интеграциялар (кем дегенде дайын коннекторлар арқылы);
  • түсінікті лицензиялау және парк өссе болжанатын шығындар;
  • ПК-ға төмен жүктеме және желі мен жаңартуларға ашық талаптар;
  • басқарушыға есеп: инциденттер, реакция уақыты, қамту және қалпына келтірулер бойынша метрикалар.

Сатып алудан бұрын пайдалы тест: 10–20 типтік ПК алыңыз (офис станциялары және бірнеше ноутбук) және тексеріңіз, бизнес-қосымшалар бұзылмай ма және қолдау қызметіне жүгінулер көбеймей ме. Егер парк бірдей модельдерден тұрса, жүктеме мен үйлесімділікті бағалау оңайырақ.

Пилотқа дайындық: деректер, құқықтар, коммуникация

Көп жағдайда пилот өнімнің емес, дайын емес орта себепті сәтсіз болады. EDR енгізерден бұрын базалық деректерді жинаңыз: нені қорғайсыз, кім басқарады, өзгерістер қолданушыларға қалай жетеді.

Инвентаризациядан бастаңыз, бірақ «көрініс үшін» емес. Нақты картина керек: ПК және ноутбуктер модельдері, Windows нұсқалары, пайдаланушылар рөлі (офис, бухгалтерия, инженерлер, дәрігерлер, кассирлер), маңызды қосымшалар және олардың жаңартылуы. Оған қоса «ерекше» нүктелерді белгілеңіз: терминал серверлері, жалпы жұмыс орындары, зертханалық ПК, ескірген ПО бар құрылғылар.

Сосын құқықтар мен рұқсаттарды реттеу. Агентті кім қояды және саясаттарды кім өзгерте алады дегенді анықтаңыз. Қолданушыларда локал админдер барлығы жиі мәселе болады. Пилотта бұл агентті өшіру, драйверлермен қақтығыс немесе «кім кінәлі?» деген дауға әкелуі мүмкін. Алдымен анықтаңыз: кімге әкімші құқықтары беріледі, бұл қалай бақыланады және уақытша өшіру қажет болса не істеу керек.

Желі де нәтижеге әсер етеді. Филиалдар, VPN, прокси және тар арналар орналастыру мен жаңартуды қиындатуы мүмкін. Прокси қажетті домендер мен порттарды бұғаттамайтынын, телеметрия қалай жіберілетінін және байланыс жоғалғанда не болатынын тексеріңіз.

Пилот тосынсыйға айналмас үшін қысқа коммуникация мен кесте дайындаңыз: кімді қосамыз, агент қашан қойылады, не өзгеруі мүмкін, қайға хабарласу керек, кім кезекші, қалай оралу (rollback), кері байланысты қалай жинаймыз.

Мысал: Қазақстандағы компанияда басты офис пен 6 филиал VPN арқылы қосылған. Пилотқа бухгалтерия мен байланыс орталығының 50 ПК, плюс 5 «қиын» машина алады. Параллельде ИБ және IT-мен енгізу терезесі мен локал админдар ережелері келісіліп қойылады. Бұл екінші аптада дау-дамайларды апталармен емес күндермен қысқартуға көмектеседі.

EDR пилоты: 4–6 аптаға қадамдық жоспар

EDR енгізу – жоба түрінде
Пилоттан бастап толық таратуға дейін жобаны жүзеге асырамыз.
Сұрау жіберу

Пилот EDR-ді нақты жұмыс орнында тексеру үшін қажет: «идеал» стенд емес, типтік ПК, әдеттегі бағдарламалар мен адамдар қатысатын ортаны пайдаланыңыз. 500+ құрылғы паркі үшін жақсы пилот апталар мен тәуекелдерді үнемдейді.

Бастау үшін 30–80 ПК топтастырыңыз. Онда әртүрлі рөлдер (бухгалтерия, сатылым, IT, басшылық), әртүрлі құрылғы түрлері (ноутбук пен стационар) болуы және бірнеше филиалдан болу маңызды. Осылай саясаттар ортаның ерекшеліктеріне қай жерде «қақтығысатынын» тез көресіз.

Апта сайынғы жоспар

  • Апта 1: тексеру сценарийлері мен табыс критерийлерін келісіңіз, жауаптыларды тағайындаңыз, рұқсаттарды және агент орнату терезесін дайындаңыз.
  • Апта 2: агенттерді орналастырыңыз, телеметрия жинауды қосыңыз, қатаң блоктаусыз базалық ескертулерді орнатыңыз.
  • Апта 3: сценарийлер бойынша бақылаулы тексерістер жасаңыз (күмәнді қосаулар, PowerShell, USB қосылымы, RDP арқылы қол жеткізу әрекеттері), не срабатывает және не жұмысты бұзады екендігін тіркеңіз.
  • Апта 4: алғашқы 1–2 аптаның оқиғаларын талдаңыз, «шуды» нақты қауіптерден ажыратыңыз, ерекшеліктер мен ережелер тізімін жасаңыз.
  • Апта 5–6 (қажет болса): саясаттарға түзетулер енгізіп, тексерістерді қайталаңыз, жақсартулар мен қалған проблемаларды бекітіңіз.

Апталар арасында қысқа 2–3 кездесуді (әрқайсысы 30 минут) ұстап тұрыңыз, даулар мен срабатываняларды жинап қоймау үшін.

Финалға не шығуы тиіс

  • келісілген саясаттар мен ерекшеліктер, иелері белгіленген;
  • жалған срабатыванялардың бағасы және IT-тың талдауға кететін уақыты;
  • масштабтау туралы шешім және бөлімдер бойынша толтыру жоспары.

Саясаттарды баптау: жұмыс үрдістерін бұзбау үшін

EDR енгізу көбіне агент орнатуда емес, саясаттарда «ұрысады». Ең жақсы бастама — бақылау режимі: блоктауды аз, көрінуді көбірек. Алғашқы 1–2 апта ішінде қандай процестер іске қосылатынын, қандай скрипттер мен драйверлер шынайы қажет екенін, күнделікті қандай әкімшіл іс-әрекеттер болатынын жинаңыз.

Одан кейін «сақиналы» (ring) енгізуді қолданыңыз, қателер бүкіл паркіге жайылмасын:

  • пилот: IT және бірнеше кері байланыс беруге дайын күшті қолданушылар;
  • кеңейтілген топ: әртүрлі бөлімдер мен филиалдардан 10–20% ПК;
  • барлық парк: алдыңғы сақиналар нәтижелері түзетілгеннен кейін ғана.

Саясаттарды рөлдерге бөліп жасаған дұрыс, «бәріне бірдей» емес. Әдетте 4–5 профиль жеткілікті: офис ПК, даму ортасы, әкімшілер, кіоск/терминалдар, жолда жүретін қызметкерлердің ноутбуктары. Әр профильге алдын ала не тек детектеріледі, не дереу блокталатыны туралы шешім қабылдаңыз (мысалы, уақытша қалталардан белгісіз орындалатын файлдарды іске қосуға тыйым салу).

Ерекшеліктерді басқаруды өтініш арқылы жүргізіңіз. Қарапайым қағида: ерекшелік тек өтініш бойынша жасалады, оның қосымшаның иесі және мерзімі болады. «Тек қана ақ тізімге қосу» деп жылдам шешу EDR-дің әсерін тез жояды.

Өзгерістерді бақылау міндетті. Өтініштерді кім бекітеді (әдетте ИБ пен сервис иесі), себеп пен тәуекел қайда жазылады, қалай оралу жасалатынын анықтаңыз. Содан кейін тіпті пилотта да саясаттарды үзіліссіз өзгертпей басқаруға болады.

Қалай жалған срабатываняларды азайтуға болады

Іске қосқаннан кейін көп жағдайда «сигналдар өте көп» көрінеді. Бұл қалыпты: EDR антивирустан көбірек көреді, және алғашқы апталарда оларға шабуыл мен орта ерекшеліктерін ажыратуға көмектесу керек. Әйтпесе команда шаршап, маңызды оқиғаларды елемеуі мүмкін.

Алерттерді мәні мен реакциясы бойынша қарапайым түрде жіктеуден бастаңыз:

  • критикалық: компрометация белгілері бар (бекіну, зиянды код, күдікті тораппен байланыс);
  • маңызды: қанағатсыз пайдалану ықтималдығы (админ құралдары, скрипттер, күдікті процесс тізбегі);
  • ақпараттық: тергеу үшін пайдалы, бірақ шұғыл іс жоқ;
  • шу: бірнеше рет қайталанып, сіз үшін маңызды тәуекел тудырмайтын оқиғалар.

Сосын ерекшеліктермен ақырындап жұмыс жасаңыз. "Ақ тізім" нүктелік болуы керек: нақты файлдың хэшіне немесе шығарушының цифрлық қолтаңбасына рұқсат беру, бүкіл детекция класын өшіруден жақсы. Путь бойынша ерекшелік ыңғайлы, бірақ қауіпті, себебі сол қалтаға қарапайым қолданушы да жаза алады. Шығарушы бойынша рұқсат сенімді жеткізілім мен жаңарту тізбегіне сенгенде қауіпсіз.

Шууны азайтуда қайталануларды басу және ұқсас оқиғаларды топтастыру көмектеседі. Егер 200 жұмыс орнында бірдей агент бір әрекетті әр 5 минут сайын тіркесе, операторқа мыңдаған алерт емес, масштаб пен қысқаша шолуы бар бір инцидент қажет.

Қысқа кері байланыс циклдары да тиімді: IT > қосымшаның иесі > қауіпсіздік. Мысал: EDR бухгалтерияның өз жазылған скриптіне ескерту береді. Иесі бұл штаттық тапсырма екенін растайды, IT оның қайда сақталатынын және қалай жаңартылатынын көрсетеді, қауіпсіздік ең тар ерекшелікті таңдап, шешімді тіркейді.

Айына бір рет ерекшеліктерді қайта қараңыз: не пайдаланылмайды, не «өсіп кеткен», не дәлірек баптауға болады. Бұл EDR-ді рұқсаттар жинағына айналдырмау үшін маңызды.

Операциялық модель: рольдер, регламенттер және метрикалар

Құрылғыларға жүктеме тесті
Агенттердің типтік конфигурацияларға және филиалдық каналдарға әсерін бағалаймыз.
Тексеру

EDR тек сол кезде пайда әкеледі, егер оқиғаларға кім және қалай жауап беретіні айқын болса. Әйтпесе алерттер жиналады, пайдаланушылар блоктауларға наразы болады, IT қорғанысты өшіруді бастайды "кедергі келтірмеу үшін".

Рольдер: кім не үшін жауапты

Кіші командаларда рольдер бірігеді, бірақ жауапкершілік алдын ала бекітілуі тиіс:

  • IT әкімшілері: агентті орнату, жаңартулар, келісім бойынша ерекшеліктер, ақауларды жою (пэтчтер, құқықтар, баптаулар).
  • Ақпараттық қауіпсіздік (ИБ): детект ережелері, инциденттер приоритизациясы, оқшаулауға шешім, ерекшеліктер келісімі.
  • SOC (ішкі немесе сыртқы): 24/7 мониторинг, бастапқы талдау (triage), фактілер жинау және ұсыныстар беру.
  • Service desk: пайдаланушымен коммуникация, тикеттер, қолжетімділікті қалпына келтіруді бақылау.
  • Бизнес жүйелердің иелері: түйіндердің критикалығын және рұқсат етілген тоқтау уақытын растау.

Рольдер бөлінгеннен кейін қысқа 1–2 беттік регламент қажет. Мысалы: егер ПК оқшауланса не істеу керек. Кімді қолданушы хабардар етеді, уақытша поштаға қолжетімдікті қалай шығару, кім оқшаулауды алып тастайды және қандай шарттарда (сканер таза, парольдер ауыстырылған, осалдық жойылған).

Реакция шаблондары мен метрикалар

Алдын ала қарапайым сценарийлер жасаңыз: фишинг (парольді қалпына келтіру және ұқсас хаттарды іздеу), күдікті скрипт (көзі мен қолтаңбаны тексеру), майнер (тазалау және кіру нүктесін іздеу), деректер ағып кетуі (мәжбүрлі ауыстыру, MFA, токендердің ревизиясы).

Жүйенің қалай жұмыс істейтінін түсіну үшін 3–4 метрика жеткілікті:

  • инцидентті растауға және шектеуге дейінгі уақыт;
  • критикалық ережелер бойынша жалған срабатыванялардың үлесі;
  • инциденттердің қайталануы (осыған ұқсас себеп қайта-қайта пайда бола ма);
  • агенті мен саясаттары жаңартылған құрылғылардың үлесі.

Егер жоба интегратор арқылы жүзеге асырылса, рольдер, регламенттер және метрикаларды пилоттың бөлігі ретінде рәсімдеуді сұраңыз, «кейін бір күні» емес.

IT және қолданушыларды оқыту: EDR шынайы жұмыс істеуі үшін

EDR тек адамдар консольде не көріп тұрғанын және одан кейін не істеу керектігін білсе ғана көмектеседі. Әйтпесе команда алерттерге батып, пайдаланушылар «неге EDR бұғаттап отыр?» деп ренжиді. Оқыту пилотқа кіретін бөлім ретінде жоспарланғаны дұрыс.

IT үшін қысқа практикалық оқыту

Екінші линия және әкімшілер үшін жүйеде жұмыс істеуге арналған 2–3 сағаттық практикалық блок жеткілікті. Мақсат — бастапқы талдауды сенімді түрде жасау және шешім қабылдау: елемеу, шектеу, тергеу немесе эскалация.

Пайдалы минимум:

  • консоль қалай ұйымдастырылған: құрылғылар, инциденттер, саясаттар, ерекшеліктер;
  • 5 минут ішінде алертті қалай талдау: процесс, ата-аналық процесс, пайдаланушы, уақыт, желілік контактілер;
  • негізгі тергеулер: процесс тізбегі, артефактілер, ИБ-ға жинауға қажетті мәліметтер;
  • эскалация: қашан SOC/ИБ қажет және қандай деректер беру керек;
  • ерекшеліктермен қауіпсіз жұмыс: кім келіседі және қандай мерзімге.

Бірінші линия және қызметкерлер

Бірінші линия паникасыз өтініш қабылдауды білуі тиіс және "EDR-ді өшіру" талап етпеуі керек. Оларға дайын скрипттер беріңіз: қандай сұрақтар қою, блоктауды қалай түсіндіру, бағдарлама штаттық па әлде қауіп пе тез анықтау.

Қызметкерлерге бір беттік ескерту парағы жеткілікті: ПК-да не өзгеруі мүмкін (кейде терезелер шығады, файл блокталуы мүмкін), күдікті жағдайда не істеу (хабарламаны жабпаңыз, қайта жүктеме жасамаңыз, дереу Service Desk-ке хабарлаңыз), қандай жағдайлар әсіресе маңызды (қосауы бар хат, күтпеген орындалу, пароль сұрауы).

Оқытуны тест топта жаттығулармен бекітіңіз: 2–3 алдын ала дайындалған инцидент (күдікті PowerShell, белгісіз exe іске қосу, фишинг қосымшасы). Әр талдаудан кейін нұсқаулар мен ескерту пра thresholds-тарын жаңартыңыз, солайша өндірісте шуды азайтасыз.

500+ ПК-қа енгізудің нақты сценарийі: қалай өтеді

EDR саясаттары – сәтсіздіксіз
Қорғау жұмысқа кедергі келтірмес үшін профильдер мен ерекшеліктерді орнатамыз.
Жоспар алу

Орташа компания: шамамен 700 жұмыс станциясы, 6 филиал, бір бөлігі ноутбуктары бар және кейде офистен тыс жұмыс істейді. Антивирус орнатылған, бірақ инциденттер әлі де болады, және ПК-да не болғанын түсіну қиын. Команда EDR-ге ұқыпты, жұмыс тоқтамайтын түрде кірісуді шешеді.

Пилот кіші, бірақ көрсеткішті: қаржылық, HR, әкімшілерден 60 ПК және бір филиал таңдалады. Алғашқы 2 апта — бақылау режимі. Міндет: мінез-құлық картасын жинау, не «шуды» тудыратынын анықтау және процестерді бұзбау.

Типтік табылулар жиі қайталанады. Әдетте әкімшілік скрипттер мен утилиталар, бұрын сипатталмаған. Кейбір ПК-да ескі автозапустар мен мердігерлік бағдарламалардың қалдықтары табылады. Қорғаныс поштадағы күдікті қосымшаларға реагирует, бірақ олар кейде легитимді, тек макростары агрессивті болады.

Сосын баптау жасалады: шамамен 10–15 ерекшелік енгізіледі, әрқайсысының иесі анықталады. Бухгалтерия мен әкімшілер үшін саясаттар қатайтылады: утилиталар мен скрипттердің іске қосылуына көбірек бақылау қойылады.

Одан әрі толтыру толқындармен жүреді — апта сайын 150 ПК. Әр толқын келесі метрикалар бойынша бағаланады:

  • 100 ПК-ға шаққандағы алерт саны;
  • жалған срабатыванялардың үлесі;
  • IT-тың жауап беру уақыты;
  • қолдау қызметіне өтінімдер саны.

Егер метрикалар нашарласа, келесі толқын тоқтатылады және саясаттар түзетіледі, кең көлемді ерекшеліктерге жүгінбестен.

Бастамас бұрын және іске қосқаннан кейін қысқа чек-лист

EDR енгізуді жеңілдету үшін команданың қысқа тексеру тізімі болу керек. Ол иелерді, метрикаларды және оралу жоспарын ұмытпауға көмектеседі.

Бастамас бұрын (сатып алудан және пилоттан бұрын)

1–2 кездесу өткізіп, негізгі жайттарды келісіңіз. Бұл алғашқы блоктаулардан кейін хаосты шешуге кетер уақыттан аз.

  • 2–3 өлшенетін мақсатты анықтаңыз (мысалы, инцидентке реакция уақыты, қамтылған ПК пайызы, шуды азайту) және ИБ мен IT жағынан иелерді тағайындаңыз.
  • Пилот тобы: 50–150 ПК, әртүрлі рөлдер (бухгалтерия, даму, колл-центр, басшылық) және 1–2 «тыңайтылған» қосымша.
  • Инвентаризация жинаңыз: ОС, нұсқалар, критикалық қосымшалар, VPN, VDI, әкімшілер құралдары. Таңдамалы түрде перезагрузка жасауға болмайтын ПК-тарды белгілеңіз.
  • Құқықтар мен шекараларды дайындаңыз: агентті кім қояды, консольді кім қарайды, ерекшеліктерді кім бекітеді, хостты кім оқшаулай алады.
  • Оралу жоспары дайындаңыз: саясаттарды тез өшіру немесе агентті жою жолы, пайдаланушыларға блоктау кезінде нені істеу керектігін түсіндіру.

Іске қосқаннан кейін (масштабтау кезінде)

Пилот нәтижелері анықталғаннан кейін, ең маңыздысы — баптауларды қайталанатын процесске айналдыру, жеке мамандардың «ерлігіне» сүйенбеу.

  • Апталық баптау енгізіңіз: жоғарғы алерттерді талдау, ережелер қосу, қамтуды жаппау, типтік ПК-ларда өнімділікті тексеру.
  • Ерекшеліктер журналы жүргізіңіз: кім өтініш берді, себебі, мерзімі, енгізер алдында не тексерілді. Айына бір рет ескіргендерді алып тастаңыз.
  • Қысқа регламенттер келісіңіз: инцидент қалай эскалирленеді, қашан хост оқшауланады, қалай желіге қайтару, қандай реакция уақыттары.
  • IT және бірінші сыныпты қолдау командасын оқытыңыз: типтік симптомдар, инцидент санаттары, ИБ-ге берілетін алдын ала жинақталған мәліметтер.
  • Басқармаға есеп беру орнатыңыз: 3–5 метрика (қамту, MTTD/MTTR, жалған срабатыванялар үлесі, критикалық инциденттер саны) және тұрақты есеп күні.

Егер парк қоспашаланған болса (мысалы, офис ПК мен жұмыс станциялары, жергілікті өндірілген құрылғылар бар), алдын ала әртүрлі конфигурацияларға пилот өткізіңіз. Сондықтан масштабтау алдында үйлесімсіздіктерді ұстап аласыз.

Келесі қадамдар: пилоттан тұрақты эксплуатацияға өту

Пилоттан кейін «жұмыс істеп тұр секілді, бірақ енгізуге қорқамыз» күйінде қалу оңай. EDR қалыпты операцияға айналуы үшін қысқа өту жоспары және анық иелері қажет.

Пилотта не тексерілгенін анықтаңыз: бөлімдер мен ПК түрлері, шабуыл сценарийлері, интеграциялар (пошта, AD, тикеттер). Сонымен қатар бұзуға болмайтын критикалық қосымшалар мен процестер тізімін жасаңыз: бухгалтерия, медициналық жүйелер, мемлекеттік ИС, арнайы драйверлер, қашықтан жұмыс орындары. Әрбір пунктке иелер тағайындаңыз (IT, қауіпсіздік, бизнес) және шешім мерзімін беріңіз.

Одан әрі бес қадамдық қарапайым маршрут қолайлы:

  • дайындық критерийлерін бекітіңіз: қандай метрикалар қалыпты (реакция уақыты, жалған срабатыванялар үлесі, құрылғылар қамтылуы);
  • оқиға талдауға ресурстар жоспарлаңыз: алғашқы апталарда күнделікті бастапқы талдауға кемінде 1–2 жауапты;
  • толқынмен енгізу жоспарын құрыңыз (мысалы, 10%, кейін 30%, содан соң қалғаны) және оралу терезесін белгілеңіз;
  • ерекшеліктер ережесін сипаттаңыз: кім сұрай алады, кім бекітеді, мерзімі, қайта қаралуы;
  • регламенттерді жаңартыңыз: блоктау болғанда не істеу, инцидентті қалай эскалирлеу, шешімдерді тіркеу жолы.

Зрелдіктің жақсы белгісі — ерекшеліктер жылдар бойы жиналмай, кесте бойынша қайта қаралып, әрқайсысы себеп пен мерзімге ие болуы.

Қажет болса, жобаны жобалау, енгізу және қолдау бойынша көмек көрсетеміз. GSE.kz (gse.kz) жүйелік интегратор ретінде қосылып, инфрақұрылымды дайындауға, енгізуді ұйымдастыруға және корпоративтік талаптарға сай 24/7 қолдау көрсетуге көмектесе алады, сонда пилоттан эксплуатацияға өту бір адамға жүктеліп қалмайды.