作為一家全球領(lǐng)先的汽車(chē)電子與汽車(chē)安全供應(yīng)商，寧波均勝電子股份有限公司（簡(jiǎn)稱(chēng)“均勝電子”）已經(jīng)與全球頂尖整車(chē)廠商建立了長(zhǎng)期合作關(guān)系。均勝電子深知，只有持續(xù)提升產(chǎn)品質(zhì)量和服務(wù)水平，樹(shù)立卓越的品牌形象，才能贏得客戶(hù)的信賴(lài)與青睞。而確保公司內(nèi)信息系統(tǒng)、數(shù)據(jù)平臺(tái)的安全可靠，則是其重中之重。均勝電子采用基于Microsoft Sentinel 及 Microsoft Defender 產(chǎn)品服務(wù)構(gòu)成的Microsoft SOC（Security Operation Center，安全運(yùn)維中心）解決方案，旨在幫助均勝電子實(shí)現(xiàn)以下目標(biāo)：

?提升安全管控能力：實(shí)施簡(jiǎn)單，自動(dòng)收集多源頭安全日志數(shù)據(jù)，并進(jìn)行分析，快速了解安全威脅的最新情況及其可能造成的影響，及時(shí)采取措施應(yīng)對(duì)。

?提高安全運(yùn)維效率：配置自動(dòng)化規(guī)則，一旦檢測(cè)到安全威脅，自動(dòng)觸發(fā)告警并通知相關(guān)人員，更快速地發(fā)現(xiàn)和處理安全事件，采用較低成本，提高運(yùn)維效率。

?增強(qiáng)安全風(fēng)險(xiǎn)感知度：發(fā)現(xiàn)公司未曾監(jiān)控的安全領(lǐng)域，并幫助公司提高對(duì)安全風(fēng)險(xiǎn)的感知度，更早地發(fā)現(xiàn)潛在的安全威脅，并采取措施加以防范。

?實(shí)現(xiàn)全局安全透明度：提供全球化安全態(tài)勢(shì)報(bào)表，展示所有子公司安全狀況概覽，了解全球各子公司的安全狀況，并制定、推行更具針對(duì)性的安全策略。

均勝電子是一家典型的全球化企業(yè)，總部位于中國(guó)，并負(fù)責(zé)對(duì)分布在海外的四大核心業(yè)務(wù)實(shí)體進(jìn)行管理。作為一家注重業(yè)務(wù)穩(wěn)健發(fā)展、并已成為汽車(chē)安全的龍頭企業(yè)，均勝電子一直以來(lái)都十分重視信息安全建設(shè)，并積極投資于諸多全球領(lǐng)先的安全工具。

“車(chē)企對(duì)信息安全的需求其實(shí)遠(yuǎn)大于很多人的認(rèn)知，一方面是公司本身的知識(shí)資產(chǎn)，另一方面是車(chē)主客戶(hù)的信息安全，特別是智能駕駛領(lǐng)域。這對(duì)于公司運(yùn)營(yíng)連續(xù)性、客戶(hù)信任和品牌信譽(yù)，以及法規(guī)遵從，具有重要意義，我們?cè)谶@些方面必須要做得比以往更好。”

Microsoft SOC 安全運(yùn)維中心使用 Microsoft Sentinel SIEM（安全信息與事件管理）能力和 Microsoft Defender XDR（擴(kuò)展檢測(cè)與響應(yīng)）能力所生成的數(shù)據(jù)來(lái)識(shí)別威脅，并使用 Sentinel SOAR（安全編排、自動(dòng)化及響應(yīng)）服務(wù)處理威脅和完成修復(fù)。這讓均勝電子的全球化 IT 環(huán)境，包括本地、云端、應(yīng)用、網(wǎng)絡(luò)和設(shè)備，均得到了全天候監(jiān)控，并降低了本地基礎(chǔ)結(jié)構(gòu)的規(guī)模和復(fù)雜性。

提升安全管控能力

均勝電子在亞洲、北美、歐洲等主要汽車(chē)出產(chǎn)國(guó)均擁有生產(chǎn)基地布局，每個(gè)業(yè)務(wù)主體各自擁有獨(dú)立的 IT 安全團(tuán)隊(duì)來(lái)把控信息安全決策權(quán)。因此，在信息安全標(biāo)準(zhǔn)制定、信息安全策略采用、信息安全等級(jí)落實(shí)，以及信息安全事件響應(yīng)上，各子公司之間難免存在差異。“這種不對(duì)稱(chēng)性很可能會(huì)導(dǎo)致我們?cè)谟龅桨踩录r(shí)，需要花費(fèi)較多人力和時(shí)間來(lái)定位問(wèn)題根源，并做有效處置”， 均勝電子首席數(shù)據(jù)官余成波表示。

為避免因安全風(fēng)險(xiǎn)的評(píng)判標(biāo)準(zhǔn)、預(yù)防機(jī)制和應(yīng)對(duì)措施不一致而導(dǎo)致的潛在風(fēng)險(xiǎn)，集團(tuán)總部希望采用一體化技術(shù)手段來(lái)對(duì)各子公司的信息安全實(shí)現(xiàn)統(tǒng)籌管理。均勝電子經(jīng)過(guò)考察和對(duì)比，最終選擇了 Microsoft SOC 解決方案，并與 Microsoft 緊密合作，共同完成部署。

“它是一個(gè)統(tǒng)一的安全運(yùn)營(yíng)中心平臺(tái)，可以將來(lái)自不同國(guó)家、不同位置、不同工具的安全數(shù)據(jù)進(jìn)行整合和分析，為均勝電子提供全面的安全態(tài)勢(shì)感知。”

均勝電子首席數(shù)據(jù)官余成波希望借助 Microsoft SOC 解決方案，讓均勝電子能夠在一個(gè)統(tǒng)一的平臺(tái)上關(guān)聯(lián)并打通所有安全工具和能力，形成一個(gè)自動(dòng)化安全運(yùn)維的管控平臺(tái)。而其中，部署 Microsoft Sentinel 并在實(shí)施后對(duì)其進(jìn)行設(shè)置以連接安全服務(wù)的效率，比沒(méi)有該解決方案前至少將時(shí)間縮短了 80%。“這讓我們能夠以全方位視角洞察全球子公司的整體安全建設(shè)情況，包括安全事件的追溯和評(píng)判。Microsoft SOC 解決方案有效提升了均勝電子的全球一體化安全管控能力，為公司的穩(wěn)健發(fā)展提供了堅(jiān)實(shí)的信息安全保障”。

優(yōu)化安全運(yùn)維效率

“在當(dāng)今的網(wǎng)絡(luò)環(huán)境中，安全運(yùn)維效率極為重要”，均勝電子首席數(shù)據(jù)官余成波表示：“Microsoft SOC 解決方案為均勝電子賦予了一系列自動(dòng)化 IT 運(yùn)維和安全管控能力，幫助公司的信息安全團(tuán)隊(duì)更快速發(fā)現(xiàn)和評(píng)估潛在的安全威脅，及時(shí)采取措施加以預(yù)防和響應(yīng)。”

在正在運(yùn)行的 Microsoft SOC 解決方案中，均勝電子實(shí)現(xiàn)了自動(dòng)化日志收集和分析。“我們很早就將 Microsoft 365 作為辦公平臺(tái)，現(xiàn)在又引入了 Microsoft SOC 解決方案，二者之間無(wú)縫集成的特性，讓我們很容易掌控整個(gè)辦公平臺(tái)的安全態(tài)勢(shì)”，均勝電子網(wǎng)絡(luò)及安全經(jīng)理謝惠超表示。“除此之外，這套解決方案還可以自動(dòng)采集來(lái)自網(wǎng)絡(luò)設(shè)備、服務(wù)器、殺毒軟件和防火墻等第三方安全產(chǎn)品和服務(wù)，以及 Windows 客戶(hù)端的安全日志，并進(jìn)行綜合分析，為我們的安全團(tuán)隊(duì)提供了重要數(shù)據(jù)支持，讓他們能夠快速了解安全威脅的最新情況及其可能造成的影響。”

基于 Microsoft Sentinel 實(shí)現(xiàn)的云原生 SIEM、SOAR 和 UEBA 運(yùn)維管理體系架構(gòu)。

Microsoft SOC 解決方案允許均勝電子的安全運(yùn)維人員配置自動(dòng)化規(guī)則和警報(bào)觸發(fā)響應(yīng)機(jī)制。一旦觸發(fā)警報(bào)，安全運(yùn)維中心就會(huì)以 Teams 消息方式自動(dòng)傳達(dá)給所有相關(guān)人員，而且在警報(bào)中還包含了涉及影響的地理位置信息。

“這一能力大大提高了安全團(tuán)隊(duì)的協(xié)同能力和工作效率，使我們能夠更及時(shí)了解安全威脅或安全事件的具體情況，并采取相應(yīng)的應(yīng)對(duì)措施，避免造成進(jìn)一步損失。”

同時(shí)，均勝電子在 Microsoft SOC 解決方案中可即時(shí)獲取全球業(yè)務(wù)實(shí)體的安全報(bào)告，展示所有子公司的安全狀況，對(duì)各子公司的安全預(yù)警進(jìn)行跟蹤和分析，并據(jù)此制定具有針對(duì)性的安全策略。

關(guān)鍵的，均勝電子還根據(jù)自身安全運(yùn)維管理需求，在 Microsoft SOC 解決方案中添加了自動(dòng)流劇本（Playbook），這些劇本可以自動(dòng)執(zhí)行常見(jiàn)的安全運(yùn)維操作。均勝電子網(wǎng)絡(luò)及安全經(jīng)理謝惠超表示：“自動(dòng)流劇本讓我們能夠?qū)⒉煌陌踩录?yīng)對(duì)流程實(shí)現(xiàn)自動(dòng)化和標(biāo)準(zhǔn)化。一旦出現(xiàn)安全事件，相應(yīng)的 Playbook 就會(huì)被觸發(fā)，自動(dòng)完成一系列檢查、分析和修復(fù)操作，極大減輕了安全運(yùn)維人員的工作壓力。”

提高安全風(fēng)險(xiǎn)感知度

一直以來(lái)，均勝電子都在公司信息安全建設(shè)上力求不斷優(yōu)化，特別是對(duì)各種潛在風(fēng)險(xiǎn)的感知能力。均勝電子首席數(shù)據(jù)官余成波表示：“我們投資于諸多安全工具，目的是不遺漏任何一個(gè)盲區(qū)。隨著部署了 Microsoft SOC 解決方案后，我們開(kāi)始意識(shí)到其實(shí)公司存在許多未曾監(jiān)控的安全領(lǐng)域，這些地方可能存在潛在的安全風(fēng)險(xiǎn)。Microsoft SOC 的最大意義就在于它能夠發(fā)掘這些我們不知道的地方，提高了對(duì)安全風(fēng)險(xiǎn)的全方位感知。”

在 Microsoft SOC 解決方案中，Microsoft Defender 是這種感知能力的具體實(shí)現(xiàn)手段，它為均勝電子帶來(lái)了全局的安全風(fēng)險(xiǎn)感知和抵御防護(hù)。Microsoft Defender 可以自動(dòng)感知并發(fā)現(xiàn)來(lái)自身份、設(shè)備、郵件、文檔和應(yīng)用等多個(gè)領(lǐng)域的安全風(fēng)險(xiǎn)。例如，Defender for Office 365 可以對(duì) Microsoft 365 中信息訪問(wèn)和使用異常行為發(fā)出警報(bào)。均勝電子網(wǎng)絡(luò)及安全經(jīng)理謝惠超表示：“ 通過(guò) Defender for Office 365，可以協(xié)助我們智能響應(yīng)并自動(dòng)抵御釣魚(yú)郵件攻擊、惡意軟件帶來(lái)的隱患和風(fēng)險(xiǎn)，通過(guò)安全預(yù)警提醒運(yùn)維團(tuán)隊(duì)及時(shí)優(yōu)化必要的防范策略”。除此之外，Defender 還能及時(shí)發(fā)現(xiàn)可疑登錄、惡意軟件運(yùn)行等各類(lèi)高風(fēng)險(xiǎn)事件，助力均勝電子穩(wěn)固安全基線，提高整體安全事件響應(yīng)速度。

使用 Microsoft Sentinel 中的數(shù)據(jù)連接器，自動(dòng)導(dǎo)入 Microsoft 及其他安全產(chǎn)品的日志數(shù)據(jù)。

而要將這些來(lái)自不同源頭的安全事件有機(jī)整合，就需要依賴(lài) Microsoft SOC 解決方案強(qiáng)大的數(shù)據(jù)采集、分析和關(guān)聯(lián)能力。

“我們使用 Microsoft Sentinel 作為數(shù)據(jù)平面，將 Microsoft 及第三方安全設(shè)備及產(chǎn)品的日志自動(dòng)導(dǎo)入，并通過(guò)自定義警報(bào)規(guī)則和場(chǎng)景，及時(shí)發(fā)現(xiàn)各類(lèi)潛在威脅。”

同時(shí)，Microsoft Sentinel 還為均勝電子的 IT 安全運(yùn)維團(tuán)隊(duì)提供了多維度可視化報(bào)表，使他們能夠清晰掌握關(guān)鍵指標(biāo)，比如高風(fēng)險(xiǎn)事件的類(lèi)型分布、員工行為異常比例等，從而更好地制定相應(yīng)的安全策略。以此幫助安全運(yùn)維團(tuán)隊(duì)減少了高達(dá) 79% 的誤報(bào)，并將高級(jí)多點(diǎn)觸控調(diào)查所需的工作量減少了 85%。均勝電子首席數(shù)據(jù)官余成波談到：“更難能可貴的是，Sentinel 不僅覆蓋內(nèi)部安全數(shù)據(jù)，還通過(guò)對(duì)接 Microsoft 威脅情報(bào)庫(kù)，為我們提供了外部威脅的實(shí)時(shí)情報(bào)，真正做到縱深防護(hù)。”

一旦出現(xiàn)安全事件，第一時(shí)間通過(guò) Teams 消息將警報(bào)送達(dá)安全團(tuán)隊(duì)。

“在進(jìn)行事件響應(yīng)時(shí)，我們會(huì)結(jié)合 Sentinel 的規(guī)則和報(bào)表分析，以及 Defender 的檢測(cè)結(jié)果，準(zhǔn)確判斷每一個(gè)安全事件的實(shí)際嚴(yán)重程度，從而高效部署資源，及時(shí)采取針對(duì)性的緩解措施，有效控制了風(fēng)險(xiǎn)擴(kuò)散”，均勝電子首席數(shù)據(jù)官余成波表示，“可以說(shuō)，Microsoft SOC 解決方案從根本上改變了我們的安全運(yùn)營(yíng)模式，使我們從過(guò)去的被動(dòng)防御，轉(zhuǎn)變?yōu)橹鲃?dòng)出擊，切實(shí)提升了對(duì)安全風(fēng)險(xiǎn)的感知和應(yīng)對(duì)能力。相信未來(lái)通過(guò)不斷深化此方面的實(shí)踐，我們一定能為公司的信息安全防線增添更多硬核力量。”

實(shí)現(xiàn)全局安全透明度

均勝電子的中國(guó)區(qū)業(yè)務(wù)占比 25%，而海外業(yè)務(wù)占比高達(dá) 75%，海外員工占比非常高。這意味著，從公司整體信息安全建設(shè)角度來(lái)看，掌握海外子公司信息安全狀況的透明度至關(guān)重要。但是，在海外并購(gòu)后形成的“聯(lián)邦式”IT 架構(gòu)下，各子公司的 IT 安全團(tuán)隊(duì)擁有獨(dú)立性和自主性，要想了解某個(gè)子公司是否存在安全隱患，需要耗費(fèi)大量時(shí)間等待他們自己的 IT 安全團(tuán)隊(duì)進(jìn)行調(diào)查和匯總；而且，各子公司的 IT 安全團(tuán)隊(duì)對(duì)威脅風(fēng)險(xiǎn)的評(píng)判標(biāo)準(zhǔn)存在差異。

“作為一家高度全球化的大型企業(yè)集團(tuán)，均勝電子一直希望對(duì)遍布世界各地的子公司的安全狀況保持全局透明度。直到我們借助 Microsoft SOC 解決方案打造了集團(tuán)層面的統(tǒng)一安全運(yùn)維平臺(tái)，一切終于有了較為圓滿(mǎn)的答案。”

在均勝電子所采用的 Microsoft SOC 解決方案中，Microsoft Sentinel 負(fù)責(zé)自動(dòng)導(dǎo)入全球子公司的安全日志數(shù)據(jù)，通過(guò)設(shè)置規(guī)則和場(chǎng)景，對(duì)這些數(shù)據(jù)進(jìn)行智能分析和關(guān)聯(lián)，及時(shí)發(fā)現(xiàn)不同的潛在安全事件。“同時(shí)，Sentinel 與 Microsoft XDR 檢測(cè)響應(yīng)平臺(tái)無(wú)縫集成，確保我們能第一時(shí)間獲取最新的威脅情報(bào)和異常行為檢測(cè)結(jié)果”， 均勝電子首席數(shù)據(jù)官余成波表示。

更為重要的是，Microsoft SOC 能夠匯聚這些源數(shù)據(jù)，為均勝電子生成直觀的全球安全報(bào)表，使集團(tuán)總部的 IT 安全團(tuán)隊(duì)可以毫無(wú)障礙地監(jiān)控各個(gè)子公司和業(yè)務(wù)線的安全態(tài)勢(shì)。均勝電子首席數(shù)據(jù)官余成波表示：“我們不僅能一目了然地了解每個(gè)分支機(jī)構(gòu)面臨的風(fēng)險(xiǎn)類(lèi)型和嚴(yán)重程度，甚至可以針對(duì)高風(fēng)險(xiǎn)領(lǐng)域制定統(tǒng)一的防護(hù)策略和最佳實(shí)踐，切實(shí)做到高位統(tǒng)攬。”

Microsoft Sentinel與第三方網(wǎng)絡(luò)安全解決方案日志數(shù)據(jù)集成，全局展示并監(jiān)測(cè)可能的安全隱患。

有了這種前所未有的透明度和統(tǒng)一視角，均勝電子的 IT 安全團(tuán)隊(duì)終于可以及時(shí)發(fā)現(xiàn)以往那些原本在可見(jiàn)視野之外的安全隱患，并做到防患于未然。與此同時(shí)，各子公司也擺脫了之前分散作戰(zhàn)、重復(fù)建設(shè)的模式，整個(gè)集團(tuán)的安全運(yùn)維成本也隨之大幅下降。均勝電子首席數(shù)據(jù)官余成波表示：“更值得驕傲的是，通過(guò)不斷提升子公司的安全能力，我們不僅提高了業(yè)務(wù)運(yùn)營(yíng)的連續(xù)性，更增強(qiáng)了客戶(hù)對(duì)均勝電子品牌的信賴(lài)”。

是的，正是通過(guò) Microsoft SOC 解決方案，均勝電子實(shí)現(xiàn)了對(duì)集團(tuán)全球化安全狀況的統(tǒng)一監(jiān)控和透明管理。

“這無(wú)疑是我們信息安全建設(shè)的一個(gè)重大里程碑。但是，我們并不會(huì)就此止步，因?yàn)樵跀?shù)字化轉(zhuǎn)型的浪潮下，新興技術(shù)與新型威脅齊頭并進(jìn)，安全防護(hù)的要求也必須日益提高。我們將繼續(xù)緊密與 Microsoft 合作，不斷完善和創(chuàng)新，努力打造一個(gè)真正可持續(xù)化完善的安全防護(hù)體系。”

均勝電子已經(jīng)開(kāi)始使用Copilot for Microsoft 365 智能服務(wù)來(lái)幫助員工提升辦公效率，但與此同時(shí)，均勝電子也意識(shí)到，AI 工具的應(yīng)用場(chǎng)景和功能邊界的擴(kuò)張也可能帶來(lái)全新的安全挑戰(zhàn)。因此，均勝電子首席數(shù)據(jù)官余成波表示：“我們希望借助 Microsoft 在 AI 與安全領(lǐng)域的雙重優(yōu)勢(shì)，結(jié)合 Copilot for Security 安全智能副駕，為我們的 IT 安全運(yùn)維團(tuán)隊(duì)提供更為智能化支持，全面提升信息安全管控的精準(zhǔn)性、高效性和智能化水平。”

審核編輯：劉清