Category: Blog

Keamanan Siber yang Lebih Unggul: Platform Vendor Tunggal atau Ekosistem Multivendor Best-of-Breed? Sekilas, platform vendor tunggal tampak memiliki berbagai keuntungan: Organisasi dapat mengurangi jumlah kontraktor yang mereka tangani. Vendor besar memiliki kredibilitas yang sudah mapan di industri. Paket alat mereka tampaknya mencakup sebagian besar kebutuhan inti keamanan siber. Mereka dapat menawarkan harga bundling dengan diskon menarik. Namun, jika diperhatikan lebih dalam, ada celah yang mencolok. Banyak insiden keamanan besar melibatkan pemain platform besar, dan jika Anda adalah pemimpin keamanan siber yang berpengalaman, Anda harus mempertimbangkan risiko dari menaruh semua kepercayaan Anda pada satu vendor. SIEM: Kemampuan yang Tidak Boleh Diabaikan Manajemen informasi dan peristiwa keamanan (SIEM) adalah salah satu aspek yang tidak boleh dikompromikan oleh CISO. Namun, keputusan pembelian teknologi platform besar sering kali berada di tangan CIO atau CFO. Sebagai CISO, Anda mungkin enggan mempertaruhkan keamanan organisasi dan karier Anda pada pemegang keputusan yang bukan berasal dari latar belakang keamanan. Portofolio Vendor Tunggal: Solusi atau Masalah? Apa saja celah dalam vendor enterprise besar ini, dan mengapa celah tersebut ada? Jawabannya sederhana: banyak produk dalam portofolio mereka merupakan hasil akuisisi, bukan inti dari bisnis mereka. Akibatnya, mereka tidak menginvestasikan cukup waktu, talenta, atau sumber daya untuk menjadikannya solusi terdepan di pasar. Mereka juga tidak memiliki insentif untuk berinovasi. Karena mereka sudah mendominasi pasar, mereka tidak perlu menjadi lebih gesit atau menghadirkan inovasi yang benar-benar revolusioner. Mereka lebih fokus pada kepentingan pemegang saham, yang biasanya mengutamakan efisiensi biaya dan keuntungan maksimal. Akibatnya, pelanggan mereka sering kali terjebak dalam ekosistem tertutup yang menjanjikan lebih dari yang bisa diberikan. Dalam lingkungan keamanan yang dinamis saat ini, solusi “cukup baik” tidaklah cukup. Bahkan, vendor besar yang menawarkan pendekatan platform tunggal justru menjadi target menarik bagi pelaku ancaman. Jika satu kerentanan ditemukan dan dieksploitasi, dampaknya bisa sangat luas. Solusi? Mengadopsi pendekatan multivendor best-of-breed. Dengan memiliki tumpukan keamanan dari berbagai vendor terbaik, organisasi dapat menghindari satu titik kegagalan, meningkatkan redundansi, dan memilih solusi terbaik untuk setiap fungsi inti—semuanya bekerja sama secara optimal. SIEM: Kebutuhan atau Sekadar Pelengkap? Dari semua fungsi inti keamanan, SIEM adalah fondasi dari deteksi ancaman, investigasi, dan respons (TDIR). SIEM mengumpulkan data dan log dari seluruh lingkungan on-premise dan cloud, yang jumlahnya sangat besar untuk sebagian besar perusahaan. SIEM modern yang terbaik dapat menganalisis data ini dan, dengan bantuan analitik perilaku pengguna dan entitas (UEBA), mengidentifikasi aktivitas mencurigakan secara proaktif dan retroaktif. Oleh karena itu, penting untuk memiliki SIEM yang vendor-agnostic. Sayangnya, alat SIEM dari vendor besar sering kali hanya dioptimalkan untuk mengumpulkan data dari produk dalam ekosistem mereka, sementara sumber data eksternal mungkin tidak didukung atau membutuhkan biaya tambahan yang signifikan. CISO dan tim keamanan perlu mempertimbangkan hal berikut: Apakah memiliki fitur SIEM yang terbatas sudah cukup, meskipun tidak mencakup semua kebutuhan? Berapa biaya tambahan jika banyak add-on diperlukan agar SIEM dapat berfungsi dengan optimal? Seberapa baik pengalaman pengguna, dan apakah ada inefisiensi yang justru menambah biaya? Setiap data yang masuk ke SIEM memiliki peran penting. Hampir tidak ada pelanggaran keamanan yang terjadi akibat satu insiden saja—biasanya melibatkan beberapa langkah dan tahapan. SIEM membantu melihat gambaran besar dari serangkaian kejadian tersebut. Oleh karena itu, SOC membutuhkan alat SIEM yang dapat memantau seluruh lingkungan, terutama untuk ancaman orang dalam—sesuatu yang umumnya berada di luar jangkauan SIEM dari vendor tunggal. Kesimpulan: Jangan Biarkan TDIR Menjadi Prioritas Kedua Portofolio keamanan seperti apa yang ingin Anda miliki? Apakah Anda ingin mengandalkan vendor tunggal yang menawarkan solusi “cukup baik” tetapi memiliki keterbatasan? Atau Anda lebih memilih pendekatan best-of-breed yang memungkinkan Anda memilih alat terbaik untuk setiap kebutuhan dan memastikan integrasi yang lebih kuat? Pendekatan best-of-breed lebih unggul untuk SIEM. Jika SIEM Anda berasal dari platform vendor tunggal dan mengalami gangguan atau pelanggaran keamanan, hal terakhir yang Anda inginkan adalah kehilangan kemampuan TDIR saat Anda membutuhkannya. Dengan menggunakan SIEM yang vendor-agnostic dalam tumpukan teknologi yang terbuka, organisasi dapat mempertahankan proses TDIR yang kuat selama insiden kritis. Ini juga membuka jalan bagi SOC untuk mengadopsi dan mengintegrasikan alat terbaik di kelasnya, yang meningkatkan ketahanan, strategi, dan kematangan keamanan organisasi. Unduh whitepaper terbaru kami untuk mendapatkan analisis lebih mendalam tentang biaya dan manfaat dari pendekatan vendor tunggal versus best-of-breed serta cara CISO dapat membangun kasus bisnis yang lebih kuat untuk alat dan kapabilitas yang dibutuhkan SOC. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Logrhythm Indonesia menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di logrhythm.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Bayangkan Memiliki Tim Ahli Cybersecurity yang Berdedikasi untuk Threat Hunting dalam Perusahaan Bagi sebagian besar CISO dan pusat operasi keamanan (SOC), ini lebih merupakan impian daripada kenyataan. Faktanya, keamanan siber tidak menghasilkan pendapatan, sehingga CEO sering melihatnya sebagai pusat biaya. Peran Information Security adalah mencegah kerugian. Akibatnya, banyak SOC harus beroperasi dengan sumber daya minimal yang hanya cukup untuk menjalankan fungsinya. Karena sebagian besar pengambil keputusan keamanan dan analis harus menggabungkan threat hunting ke dalam tugas rutin mereka, pertanyaan mendesak yang muncul adalah bagaimana melakukannya secara efisien dan efektif. Threat Hunting yang Kuat Harus Dimulai dengan SIEM yang Kuat Salah satu hambatan terbesar dalam threat hunting yang efektif di SOC adalah kurangnya proses yang terstandarisasi dan terdokumentasi dengan baik. Jika selusin analis melakukan kueri data dengan cara yang berbeda—atau menulis kode dan membangun alat mereka sendiri—mereka akan mencapai kesimpulan yang berbeda, bahkan saat menyelidiki insiden yang sama. Kurangnya konsistensi dan repetisi ini menjadi ancaman nyata bagi keberhasilan program threat hunting. Untuk mengatasi masalah ini, investasi dalam sistem Security Information and Event Management (SIEM) modern yang bersifat vendor-netral sangat penting. SIEM yang canggih harus mampu mengumpulkan data dari seluruh lingkungan perusahaan. Sebagian besar serangan siber yang kompleks tidak berasal dari satu insiden tunggal, melainkan serangkaian tindakan yang terjadi dalam periode waktu tertentu, dan melacak urutan kejadian ini sangatlah penting. Threat hunting yang hanya dilakukan dalam lingkungan yang terisolasi, seperti EDR, VPN, atau firewall, tidak memberikan visibilitas yang dibutuhkan oleh threat hunters saat ini. Dalam infrastruktur yang kompleks dan saling terhubung, SIEM yang mampu mengumpulkan semua log menjadi elemen kunci yang mendukung threat hunting yang efektif. Setiap Celah yang Ditemukan adalah Peluang untuk Keamanan yang Lebih Baik Jika visibilitas dan konsistensi adalah elemen penting dalam threat hunting, maka SIEM yang canggih menjadi suatu keharusan. Namun, SOC juga harus melangkah lebih jauh dengan memahami pola aktivitas dan konteks yang biasanya dikaitkan dengan pengguna serta perangkat, agar dapat mengidentifikasi perilaku abnormal saat terjadi. Dalam dunia keamanan siber, ada pepatah: “Tidak semua aktivitas anomali itu berbahaya, tetapi semua aktivitas berbahaya pasti bersifat anomali.” User and Entity Behavior Analytics (UEBA) dapat menambahkan lapisan yang lebih kuat di atas SIEM. Dengan menggunakan machine learning, UEBA dapat membangun baseline aktivitas normal dan menandai tindakan yang menyimpang dari pola tersebut. Alat-alat ini memberi SOC kemampuan lebih untuk mendeteksi ancaman dalam lingkungan perusahaan. Yang lebih penting, ketika alat ini membantu analis mengidentifikasi aktivitas mencurigakan, mereka juga mengungkap kelemahan dalam sistem keamanan yang memungkinkan ancaman melewati pertahanan perusahaan. Salah satu tujuan utama dari threat hunting adalah menemukan celah dalam sistem keamanan. Setiap threat hunt yang berhasil—bahkan jika itu hanya false positive—mengungkapkan anomali yang tidak terdeteksi oleh sistem dan proses SOC. Ini memungkinkan analis untuk menerapkan alat atau proses baru guna menutup celah tersebut dan memperkuat postur keamanan organisasi. Namun, untuk mencapai perubahan yang berarti, kolaborasi dengan pihak di luar SOC sangat diperlukan. Kerja Sama dan Koordinasi di Seluruh Bisnis adalah Kunci Menemukan celah keamanan tidak ada gunanya jika tim keamanan tidak mendapat persetujuan untuk menerapkan solusi yang diperlukan untuk menutupnya. Inilah mengapa program threat hunting yang terbaik memerlukan dukungan di tingkat eksekutif. Menyampaikan urgensi dan dampak dari threat hunting kepada para pengambil keputusan bisnis adalah tugas penting bagi CISO. Namun, dukungan eksekutif bukan satu-satunya bentuk kolaborasi yang diperlukan. SOC juga harus bekerja sama dengan tim lain yang dapat menyelidiki potensi ancaman berdasarkan intelijen yang dikumpulkan oleh analis. Departemen HR, misalnya, bisa menjadi mitra yang berharga dalam program threat hunting yang efektif. Program threat hunting tingkat lanjut harus bersifat holistik dan lintas disiplin. Para pemangku kepentingan di luar tim keamanan perlu terlibat dan berkomitmen. Selain itu, data aktivitas dan log harus dikumpulkan serta dipantau di seluruh lingkungan perusahaan untuk mendeteksi segala sesuatu, mulai dari login yang tidak biasa hingga penyisipan USB yang tidak sah. Oleh karena itu, sistem seperti SIEM dan UEBA sangat penting untuk mengintegrasikan semua informasi ini. Yang paling utama, threat hunting harus dilakukan secara konsisten dan dapat diulang, sehingga CISO dan pemimpin keamanan senior dapat mengadopsi solusi inovatif yang dapat digunakan dan dipahami oleh analis di semua level. Tim keamanan tidak hanya perlu membangun proses yang kuat, tetapi juga mengembangkan keterampilan personelnya. Solusi keamanan terbaik memungkinkan hal ini terjadi. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. logrhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di logrhythm.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami !

Apakah Lingkungan Aman Jika Tidak Ada Alarm? Jika jaringan organisasi tampak tenang dan tidak ada alarm keamanan yang berbunyi, apakah itu berarti lingkungan tersebut bebas dari ancaman? Jawabannya, seperti yang diketahui tim Security Operations Center (SOC), adalah tidak. Tidak ada jaminan bahwa penyerang belum berhasil menyusup atau bahwa tidak ada kerentanan yang belum ditemukan. Inilah mengapa SOC harus memiliki kemampuan untuk melakukan threat hunting. Dengan threat hunting, tim keamanan dapat mengambil inisiatif untuk mencari aktivitas berisiko sebelum suatu insiden teridentifikasi atau penyelidikan dimulai. Jika mereka menemukan ancaman yang kredibel, itu mengungkap titik buta dalam visibilitas SOC terhadap infrastruktur TI organisasi. Ini berarti ada kelemahan dalam pertahanan yang tidak terdeteksi, dan serangan mungkin sudah berlangsung. Ancaman Bisa Berasal dari Dalam dan Luar Organisasi Penyerang dari luar memiliki berbagai cara untuk mendapatkan akses sah ke sistem dan data. Teknik seperti phishing dapat dengan mudah menjadikan karyawan yang terpercaya sebagai insider yang dikompromikan, menciptakan risiko serius bagi organisasi. Penelitian menunjukkan bahwa 68% pelanggaran keamanan melibatkan unsur manusia yang tidak disengaja, seperti kesalahan tim atau serangan rekayasa sosial. Dalam kasus ini, karyawan tanpa sadar membantu penyerang bergerak di dalam jaringan dan mencuri data. Namun, ada juga ancaman dari dalam organisasi yang lebih berbahaya—orang dalam yang sengaja menyalahgunakan akses mereka. Motivasinya bisa beragam, seperti ketidakpuasan kerja, tawaran dari pesaing, atau bahkan suap dari pihak ketiga. Keterbatasan IoAs dan IoCs dalam Threat Hunting Threat hunting konvensional sering kali bergantung pada indikator serangan (Indicators of Attack/IoAs) dan indikator kompromi (Indicators of Compromise/IoCs) seperti alamat IP, hash file, dan nama domain. Meskipun ini berguna dalam mendeteksi ancaman eksternal, mereka tidak cukup efektif dalam mengidentifikasi ancaman dari dalam, terutama ketika pelaku menggunakan kredensial sah. Selain itu, IoAs dan IoCs sering kali hanya muncul setelah serangan terjadi. Mereka tidak mampu mengidentifikasi aktivitas mencurigakan yang terjadi sebelum serangan, yang berarti kerusakan mungkin sudah terjadi sebelum ancaman ditemukan. Banyak organisasi juga bergantung pada mesin korelasi dengan ribuan aturan deteksi ancaman. Namun, dengan volume data yang besar dari berbagai sumber seperti endpoint, firewall, dan lalu lintas web, SOC sering kali kewalahan oleh banyaknya peringatan. Akibatnya, mereka mungkin menonaktifkan sebagian besar aturan korelasi, yang dapat menyebabkan ancaman tak terdeteksi. Pendekatan yang Lebih Baik: Fokus pada TTPs Agar threat hunting lebih efektif, analis harus melampaui IoAs dan IoCs dengan mengidentifikasi taktik, teknik, dan prosedur (TTPs) yang digunakan oleh penyerang. TTPs mewakili tingkat yang lebih tinggi dalam Pyramid of Pain dan berfokus pada pola perilaku pelaku ancaman. Dengan mendeteksi TTPs, SOC dapat lebih proaktif dalam memburu ancaman dan memahami bagaimana serangan dilakukan. MITRE ATT&CK® adalah framework yang menghubungkan TTPs dengan perilaku spesifik penyerang, membantu analis mengenali pola serangan dan menghentikannya sebelum terjadi kerusakan lebih lanjut. Begitu metode penyerang terdeteksi, mereka dipaksa untuk mengubah strategi mereka, yang meningkatkan ketahanan keamanan organisasi. Solusi Teknologi untuk Meningkatkan Threat Hunting Untuk mendukung threat hunting yang lebih canggih, organisasi membutuhkan dua kemampuan utama: SIEM Modern Sistem Security Information and Event Management (SIEM) mengumpulkan data dari seluruh organisasi, menyederhanakan peringatan, dan memberikan wawasan mendalam bagi analis untuk melakukan threat hunting dengan lebih efisien.        2. User and Entity Behavior Analytics (UEBA) Teknologi ini menggunakan machine learning untuk membangun pola aktivitas normal dalam organisasi. Jika ada perilaku yang menyimpang dari norma—bahkan jika berasal dari pengguna atau perangkat dengan kredensial sah—sistem akan secara otomatis menandainya sebagai potensi ancaman. Kombinasi SIEM dan UEBA memberikan dasar yang kuat untuk mendeteksi anomali, mengidentifikasi TTPs, dan memperkuat program threat hunting organisasi. Dengan pendekatan yang lebih proaktif ini, SOC dapat meningkatkan visibilitas, mempercepat respons, dan memperkuat keamanan siber perusahaan. Hubungi LogRhythm Indonesia untuk memberikan solusi lebih lanjut terkait dengan Keamanan siber di Perusahaan anda.

Apakah Anda pernah menghitung tingkat true positive (TPR) dari program keamanan Anda? Pernahkah Anda mempertimbangkan MENGAPA Anda perlu melacak metrik ini? Apakah ada standar industri yang dapat dijadikan acuan? Dalam seri blog dua bagian ini, kita akan membahas pertanyaan-pertanyaan ini dan melihat bagaimana wawasan dari pelacakan metrik ini dapat digunakan untuk meningkatkan program keamanan siber, mengevaluasi efektivitas alat yang digunakan, serta mencari jawaban tentang tingkat true positive yang “dapat diterima.” Mendefinisikan False Positive Ketika membahas tingkat true positive (TPR), langkah pertama adalah mendefinisikan apa itu true positive. Dalam latihan ini, saya akan memberikan beberapa definisi umum dari false positive (FP) dan mengeluarkannya dari kumpulan data kita. Dengan demikian, yang tersisa adalah true positive (TP). Kita dapat menggunakan rumus dasar berikut untuk menghitung tingkat true positive: TPR=TPTP+FPTPR = \frac{TP}{TP + FP} Secara historis, istilah “false positive” digunakan untuk menunjukkan bahwa pemindai kerentanan kita “secara keliru mengindikasikan adanya kerentanan.” Ini masih menjadi definisi pertama dalam glosarium istilah online NIST. Namun, definisi false positive telah berkembang mencakup pernyataan seperti “Peringatan yang secara keliru menunjukkan adanya aktivitas berbahaya” atau “Salah mengklasifikasikan aktivitas yang aman sebagai aktivitas berbahaya.” Karena cakupan istilah ini semakin luas, mengklasifikasikan sebuah peringatan sebagai false positive bisa menjadi topik yang kontroversial, tergantung pada siapa yang Anda ajak bicara. Coba saja diskusikan tingkat false positive dengan vendor alat keamanan, dan Anda akan mengerti maksud saya. Menguji Sebuah Contoh Sebagai latihan pemikiran, mari kita ambil contoh berikut: jika seorang Administrator Jaringan menjalankan pemindaian Nmap yang tidak terjadwal sebagai bagian dari tugas hariannya, yang kemudian memicu aturan SIEM untuk mendeteksi pemindaian jaringan, apakah ini termasuk true positive atau false positive? Di satu sisi, SIEM merespons sesuai dengan aturan yang dibuat—mendeteksi seseorang yang menjalankan pemindaian jaringan, jadi ini adalah true positive. Namun, di sisi lain, aktivitas pemindaian ini dapat diterima dalam organisasi karena dilakukan oleh seorang Administrator Jaringan, sehingga tidak dianggap sebagai “perilaku berbahaya” dan bisa juga dikategorikan sebagai false positive. Haruskah analis SOC menutup tiket ini sebagai true positive atau false positive? Haruskah analis Tier 3 meninjau tiket ini, mengajukan deteksi ini untuk penyempurnaan aturan, dan menghapus semua Administrator Jaringan dari aturan deteksi? Dari sini, Anda bisa melihat mengapa memiliki definisi false positive yang kuat sangatlah penting. Jika kita mengklasifikasikan deteksi ini sebagai false positive (karena tidak berbahaya), maka proses selanjutnya bisa menambah beban kerja bagi staf yang bertanggung jawab atas penyempurnaan aturan dan bahkan bisa menciptakan celah keamanan. Misalnya, menghapus sekelompok pengguna tertentu dari aturan deteksi bisa berdampak besar jika salah satu akun mereka dikompromikan. Namun, membiarkan aturan deteksi tetap seperti itu bisa menyebabkan kejenuhan di tim SOC karena terlalu sering menerima peringatan. “Oh, itu Bob yang melakukan pemindaian lagi, abaikan saja.” Memperkenalkan Definisi Baru Untuk menangani metrik yang cukup kompleks ini, kita perlu memperkenalkan definisi ketiga: bahwa sebuah peringatan bisa dikategorikan sebagai True Positive: Benign (TP:B). Konsep ini dapat diperluas lebih jauh dengan menciptakan kategori lain, yaitu True Positive: Acceptable Risk (TP:AR), yang digunakan untuk mencatat semua peringatan yang diterima tetapi diabaikan karena sumber peringatan tersebut telah diklasifikasikan sebagai “pengecualian.” Kita semua pasti memiliki kasus seperti ini dalam sistem kita. Menambahkan pengukuran yang lebih rinci ini memungkinkan kita untuk mengklasifikasikan peringatan dengan lebih akurat dan menetapkan jalur kerja yang lebih baik dibandingkan dengan sistem klasifikasi biner true positive vs. false positive yang terbatas. Dengan demikian, kita dapat menggunakan metrik “true positive” ini untuk melacak peningkatan dalam program keamanan kita. Dengan adanya kategori tambahan ini, rumus tingkat true positive kita menjadi: TPR = (TP + TP:B + TP:AR) ÷ (TP + TP:AR + TP:B + FP) Dengan false positive didefinisikan sebagai: FP = Total alerts – (TP + TP:AR + TP:B) Dalam postingan berikutnya, kami akan mengeksplorasi definisi true positive yang diperluas serta alur kerja yang terkait dengan klasifikasi tersebut. Anda menghadapi serangan yang terus-menerus, beberapa di antaranya bahkan tidak Anda ketahui keberadaannya. Sebagai titik masuk utama bagi serangan, pengguna merupakan vektor yang sulit untuk dipantau dan diamankan. Untuk menghadapi gelombang serangan ini, Anda perlu memusatkan perhatian pada pengguna dengan memanfaatkan kekuatan analisis perilaku pengguna dan entitas (UEBA). Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. logrhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di logrhythm.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

#1 – Peningkatan Kecanggihan Serangan Berbasis AI Pada tahun 2025, peretas akan memiliki akses ke alat AI yang jauh lebih canggih, mengubah lanskap ancaman secara drastis. Generative AI dengan kemampuan penalaran yang lebih maju akan memungkinkan pelaku serangan dunia maya untuk melakukan phishing yang sangat realistis, termasuk suara deepfake dan avatar video. Kemampuan peniruan secara real-time yang hampir sempurna serta pemindaian otomatis yang kompleks terhadap kerentanan dapat melampaui pertahanan tradisional. Organisasi harus menerapkan alat keamanan berbasis AI yang terus belajar dan beradaptasi dengan pola serangan yang berkembang, terutama untuk menghadapi serangan rekayasa sosial yang lebih canggih. Pelatihan karyawan dalam mengenali ancaman berbasis AI juga akan menjadi hal yang sangat penting. #2 – Peningkatan Kapabilitas Pertahanan dengan AI Copilot Di sisi pertahanan, AI copilot akan menjadi elemen penting dalam operasi keamanan siber, mempercepat deteksi ancaman, investigasi, dan respons. Pada tahun 2025, hampir setiap operator keamanan siber kemungkinan akan dilengkapi dengan AI copilot berbasis generative AI, yang menyederhanakan analisis kompleks dan memberikan wawasan yang dapat langsung ditindaklanjuti. Perusahaan harus bersiap untuk mengintegrasikan AI copilot ini dengan memastikan kompatibilitasnya dengan infrastruktur keamanan yang ada serta melatih operator agar dapat bekerja sama secara efektif dengan AI. Pendekatan gabungan manusia dan AI ini akan meningkatkan kecepatan serta ketepatan respons, terutama dalam insiden dengan tingkat urgensi tinggi. #3 – AI yang Meresap di Seluruh Operasi Keamanan Meskipun AI telah banyak digunakan dalam alat seperti SIEM dan UEBA, tahun 2025 akan melihat generative AI memperkuat hampir setiap lapisan keamanan siber, mulai dari perlindungan endpoint hingga intelijen ancaman. Keberadaan sistem-sistem ini secara luas akan memungkinkan postur keamanan yang lebih dinamis dan tangguh, mampu menghadapi lanskap ancaman yang semakin kompleks dengan kecepatan dan presisi tinggi. Organisasi harus mulai berinvestasi dalam sertifikasi dan kerangka kerja keamanan AI sekarang, sehingga mereka siap memenuhi persyaratan regulasi dan kepatuhan terkait AI dalam keamanan siber yang akan datang. Fondasi ini akan menjadi kunci saat semakin banyak sistem AI diintegrasikan ke dalam arsitektur keamanan. #4 – AI Akan Mendemokratisasi Pembuatan Malware, Membuka Jalan bagi Kelas Baru Penjahat Siber Pada tahun 2025, Anda tidak perlu menjadi seorang programmer untuk menciptakan malware yang canggih—AI akan melakukannya untuk Anda. Model AI generatif yang dilatih khusus untuk membuat kode berbahaya akan berkembang pesat di pasar bawah tanah, memungkinkan siapa pun yang memiliki akses untuk menyebarkan ransomware, spyware, dan jenis malware lainnya dengan sedikit usaha. Alat “hacker-in-a-box” ini akan mengotomatiskan seluruh proses, mulai dari penulisan hingga penyebaran serangan, sehingga kejahatan siber semakin terdigitalisasi, dengan peningkatan jumlah serta variasi ancaman yang signifikan. #5 – “Zero Trust untuk AI” Akan Muncul sebagai Pembahasan Utama dalam Keamanan Siber AI bisa menjadi sekutu yang kuat dalam keamanan siber, tetapi juga membawa risiko baru—terutama jika pengguna mempercayai hasilnya tanpa verifikasi. Kepercayaan buta terhadap output AI akan menjadi kerentanan utama bagi organisasi. Hal ini akan memunculkan mandat keamanan baru: “Zero Trust untuk AI.” Berbeda dengan prinsip Zero Trust tradisional, konsep ini bukan hanya prediksi masa depan—ini adalah diskusi yang perlu dimulai sekarang. Kerangka kerja ini akan mewajibkan organisasi untuk memverifikasi, memvalidasi, dan memeriksa kembali output AI sebelum menggunakannya untuk mengambil keputusan keamanan yang kritis. Perubahan ini akan mendorong tim keamanan untuk menerapkan kepercayaan secara bertahap, memungkinkan integrasi AI yang lebih terkendali dan aman. Pengawasan manusia akan menjadi elemen yang tak dapat dinegosiasikan dalam penerapan AI di lingkungan keamanan. #6 – Pertempuran antara Penyerang Berbasis AI dan Pembela Berbasis AI Akan Semakin Intensif Pelaku kejahatan siber akan semakin memanfaatkan AI generatif untuk menciptakan morphing malware—kode yang dapat beradaptasi dan bermutasi untuk menghindari deteksi, membuat pertahanan tradisional menjadi usang. Jenis malware berbasis AI ini akan lebih efisien dan sulit dilacak. Di sisi lain, para pembela keamanan siber akan mengandalkan alat AI untuk menyederhanakan deteksi ancaman, dengan kemampuan menganalisis pola yang lebih kompleks dan mengidentifikasi perilaku mencurigakan dengan lebih cepat. Pertarungan antara AI yang dipersenjatai oleh penyerang dan AI yang digunakan oleh pembela akan menjadi semakin sengit, mengharuskan organisasi untuk terus meningkatkan strategi pertahanan berbasis AI mereka. #7 – Analis SOC Tradisional Akan Beralih Menjadi Spesialis AI Pada tahun 2025, peran analis Security Operations Center (SOC) tradisional akan mengalami penurunan drastis seiring dengan semakin dominannya AI dan machine learning dalam menangani tugas-tugas keamanan yang rutin. Organisasi akan lebih mengutamakan perekrutan spesialis AI yang dapat menafsirkan, mengelola, dan mengoptimalkan sistem keamanan berbasis AI yang canggih. Permintaan untuk peran threat hunting akan meningkat pesat, karena keahlian manusia tetap dibutuhkan untuk memberikan konteks dan mengambil tindakan berdasarkan wawasan yang dihasilkan oleh AI. Perusahaan tidak lagi mengandalkan tim keamanan siber yang bersifat generalis, melainkan akan mencari profesional dengan keahlian khusus untuk mengantisipasi dan menghadapi serangan siber yang semakin canggih berbasis AI. Masa depan pekerjaan di bidang keamanan siber akan bergantung pada kombinasi keahlian manusia dan inovasi AI. Kesimpulan Saat kita melihat ke tahun 2025, jelas bahwa kecerdasan buatan (AI) akan terus membentuk lanskap keamanan siber dengan cara yang sangat signifikan. Prediksi yang telah diuraikan menunjukkan potensi luar biasa AI dalam memperkuat pertahanan sekaligus ancaman baru yang ditimbulkannya. Bagi para profesional keamanan siber, tetap terinformasi dan beradaptasi akan menjadi kunci dalam menghadapi tantangan di era baru ini. Dengan menerapkan AI secara bijak—memanfaatkan kekuatannya untuk melawan risikonya—organisasi dapat membangun strategi keamanan yang lebih tangguh dan proaktif. Masa depan mungkin penuh ketidakpastian, tetapi dengan pengetahuan dan alat yang tepat, kita dapat menghadapi tantangan ini dan membalikkan keadaan melawan para penyerang. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. logrhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di logrhythm.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Jalur Pengukuran dan Pekerjaan Definisi baru dari TPR dan FP yang disebutkan di atas menciptakan jalur pengukuran dan pekerjaan berikut: True Positive Rate (TPR): Ini adalah metrik yang dapat dilaporkan, dipecah menjadi wawasan yang lebih rinci seperti: Security Tool TPR: Kinerja TPR dari setiap alat keamanan (misalnya, TPR CrowdStrike vs. TPR Exabeam). SOC Analyst TPR: Melacak true positive yang dilaporkan oleh analis dibandingkan dengan tren true positive keseluruhan untuk mengidentifikasi analis yang berkinerja di bawah atau di atas standar. Department TPR: TPR dibagi berdasarkan departemen organisasi untuk melihat apakah ada departemen tertentu yang lebih “berisiko” daripada yang lain. Apakah mereka menghasilkan lebih banyak true positive dibandingkan dengan departemen lain? Individual Rule TPR: Kinerja aturan keamanan tertentu. Apakah menghasilkan TPR yang lebih rendah dibandingkan dengan program secara keseluruhan? Jika ya, aturan ini bisa menjadi kandidat yang baik untuk penyesuaian. Ini juga dapat diterapkan pada insinyur yang membuat alat tersebut! False Positive (FP): Ini adalah prioritas utama pekerjaan kita. Tujuannya adalah untuk mendekati nol. Penting juga untuk memastikan tidak ada true positive yang salah diklasifikasikan sebagai false positive. Buat alur umpan balik di mana analis senior memverifikasi false positive. True Positive (TP): Prioritas sekunder adalah menghasilkan peringatan berkualitas tinggi yang menghasilkan true positive secara konsisten. Ini adalah ukuran, bukan metrik. Tujuan di sini adalah meningkatkan JUMLAH total true positive. Kita dapat menggunakan pengukuran lainnya untuk meningkatkan TPR secara keseluruhan. True Positive: Accepted Risk (TP:AR): Tidak banyak yang bisa dilakukan di sini selain menekan program pengecualian. Risiko yang diterima dapat membawa tanggung jawab perusahaan dan individu, sehingga harus dipahami dengan baik dan memiliki jejak pengelolaan yang jelas untuk risiko yang diketahui dan diterima. True Positive: Benign (TP:B): Ini adalah area abu-abu yang dapat dievaluasi berdasarkan program. Jika ada kapasitas untuk menangani volume peringatan yang lebih tinggi, memiliki TP:B yang lebih tinggi akan memberikan wawasan lebih baik ke dalam lingkungan dan mengurangi false negative. Jika tidak, angka ini bisa disesuaikan. Tentukan peringatan mana yang paling banyak berkontribusi pada tingkat ini dan sesuaikan dari sana. Pada akhirnya, ini bukan panduan lengkap tentang true positive vs. false positive. Namun, ini dapat digunakan sebagai dasar untuk membantu mempertimbangkan cara menggunakan metrik yang cukup kuat ini dalam program keamanan Anda. Sebuah Polling Menarik Seorang rekan industri saya, Josh Johnston, melakukan polling kepada koneksi LinkedIn-nya beberapa waktu lalu untuk memahami tingkat true positive dalam program keamanan mereka. Ia mendapatkan 49 responden dari berbagai disiplin ilmu, tingkat keahlian, dan industri. Berikut adalah hasil polling yang disajikan di LinkedIn: Hasilnya adalah sebagai berikut: Polling ini (meskipun terbatas) mulai mengonfirmasi salah satu hipotesis saya tentang tingkat true positive. Wajar jika tingkat ini sangat rendah. Perasaan intuitif saya mengatakan bahwa sebagian besar program keamanan memiliki tingkat true positive sekitar 3% atau kurang. Jika kita mulai menghitung jumlah peringatan yang diterima setiap hari dalam suatu program, tingkat true positive 3% berarti bahwa dari setiap 97 peringatan false positive, hanya tiga yang benar-benar dapat ditindaklanjuti. Pikirkan tentang itu: kita semua pernah menggunakan alat yang menghasilkan RIBUAN peringatan setiap hari… apakah tingkat true positive 3% itu realistis? Saya rasa tidak berlebihan untuk mengasumsikan bahwa beberapa organisasi memiliki tingkat true positive kurang dari 1%. Bahkan, tingkat di bawah 5% mungkin sudah menjadi standar dalam industri ini. Karena Josh bekerja untuk vendor di industri keamanan siber, kemungkinan besar ia terhubung dengan orang-orang lain yang juga bekerja untuk vendor keamanan dalam jaringan LinkedIn-nya. Untuk bersenang-senang, ia membagi hasil polling berdasarkan tanggapan dari vendor vs. non-vendor, dan hasilnya cukup menggelitik saya. Berdasarkan polling ini, tidak berlebihan untuk menyimpulkan bahwa vendor cenderung melebih-lebihkan jumlah true positive yang dihasilkan oleh alat mereka. Tindakan yang Direkomendasikan Berdasarkan definisi dan observasi yang telah direvisi, berikut adalah beberapa langkah yang direkomendasikan untuk tim keamanan: Tambahkan klasifikasi baru ke dalam alat manajemen kasus Anda. Hitung dan laporkan persentase aktual dari True Positive Rate serta metrik yang lebih rinci untuk lingkungan Anda. Gunakan perhitungan ini untuk melibatkan dan mendidik pimpinan keamanan mengenai kualitas peringatan. Tinjau kembali tindakan analis serta kebutuhan pelatihan mereka berdasarkan tingkat keberhasilan mereka. Buat umpan balik yang memungkinkan analis memberi tahu tim rekayasa keamanan tentang masalah yang terus berlanjut. Sertakan angka-angka ini dalam diskusi berkelanjutan dengan vendor, terutama untuk meningkatkan efektivitas platform mereka. Usahakan untuk berbagi perhitungan ini dengan komunitas pelanggan mereka.   Analitik Perilaku Pengguna dan Entitas untuk Deteksi Ancaman Lanjutan Anda menghadapi gelombang ancaman yang terus-menerus, beberapa di antaranya bahkan tidak Anda sadari. Sebagai titik masuk utama bagi serangan, pengguna menjadi vektor yang sulit untuk dipantau dan diamankan. Untuk menghadapi serangan yang semakin masif, Anda perlu memfokuskan perhatian pada pengguna dengan memanfaatkan kekuatan User and Entity Behavior Analytics (UEBA).   Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. logrhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di logrhythm.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Baru-baru ini, Australian Cyber Security Centre (ACSC), CISA, FBI, NSA, dan mitra internasional lainnya bekerja sama untuk menyepakati standar baru dalam pencatatan peristiwa (event logging) dan deteksi ancaman. Kolaborasi ini merupakan langkah signifikan dalam menciptakan praktik terbaik dasar bagi berbagai jenis organisasi, membantu mereka tetap waspada terhadap lanskap siber yang terus berkembang dan menghadirkan tantangan baru. Ancaman terus berkembang dan berubah dengan cepat, dengan serangan yang semakin besar dan merusak diumumkan hampir setiap hari. Para pelaku kejahatan siber juga terus mengikuti perkembangan teknologi, menemukan cara kreatif untuk tetap tidak terdeteksi sambil menyebabkan kerusakan begitu mereka berhasil menembus sistem. Standar baru ini berhasil mengupas beberapa teknik penghindaran yang muncul, seperti malware tanpa file (fileless malware) dan penggunaan biner sistem yang sah untuk tujuan berbahaya (Living-Off-the-Land Binaries atau LOLBins). Metode pencatatan dan deteksi saat ini sering kali gagal mendeteksi ancaman ini karena terus berkembang agar tetap tidak terdeteksi. Seiring dengan berkembangnya ekosistem keamanan organisasi melalui teknologi seperti komputasi awan, perangkat seluler, dan lingkungan IT/OT yang terintegrasi, cakupan yang harus diamankan pun semakin luas—sehingga strategi yang diperbarui seperti ini menjadi sangat penting untuk memberikan panduan berharga ke depannya. Kolaborasi ini telah secara jelas menggarisbawahi pentingnya mengumpulkan log peristiwa yang berkualitas tinggi dan relevan, memusatkan log tersebut, serta memastikan bahwa baik lingkungan IT maupun OT dimasukkan dalam strategi keseluruhan. Dengan pendekatan ini, organisasi dapat memperoleh visibilitas seluas mungkin di berbagai sistem dan memahami log mana yang paling penting untuk diawasi. Laporan standar ini juga menekankan pentingnya transportasi dan penyimpanan log yang aman, yang akan semakin membantu melindungi infrastruktur penting dari akses tidak sah atau manipulasi data.   Tantangan yang Perlu Diperbaiki Meskipun mustahil untuk membuat panduan universal yang mencakup semua aspek keamanan untuk setiap organisasi, ada beberapa area yang perlu diperluas agar lebih relevan bagi audiens yang lebih luas.   Kompleksitas dan Skalabilitas Banyak organisasi, terutama di sektor infrastruktur kritis seperti utilitas, layanan darurat, dan manufaktur, memiliki tim keamanan kecil hingga menengah yang juga bertanggung jawab atas aspek teknologi informasi lainnya dalam organisasi. Rekomendasi dalam laporan ini cukup rinci untuk organisasi dengan tim keamanan yang besar dan terstruktur, tetapi kemungkinan akan sulit diterapkan oleh tim yang lebih kecil dengan sumber daya terbatas. Strategi yang disarankan, seperti pengamanan sistem terdistribusi, deteksi berbasis pembelajaran mesin, dan platform deteksi skala besar, memerlukan keahlian khusus dan anggaran besar. Panduan ini akan lebih bermanfaat jika menyertakan rekomendasi bertingkat yang dapat disesuaikan dengan ukuran dan sumber daya organisasi. Organisasi kecil dapat memperoleh manfaat dari solusi yang lebih praktis dan hemat biaya, seperti alternatif SIEM yang ringan atau layanan keamanan terkelola, sehingga mereka dapat menerapkan pencatatan peristiwa dan deteksi ancaman dasar tanpa memerlukan sumber daya internal yang luas.   Batasan Baseline yang Statis Dalam era kecerdasan buatan dan pembelajaran mesin, penting untuk menetapkan baseline atau tolok ukur tentang seperti apa perilaku normal dalam suatu sistem. Dengan memiliki rentang “normal”, teknologi ini dapat mendeteksi dan memberi peringatan terhadap aktivitas yang menyimpang. Dokumen ini dengan baik mendorong penetapan baseline untuk mendeteksi deviasi dalam perilaku, tetapi belum sepenuhnya membahas betapa dinamisnya jaringan modern. Lingkungan berbasis cloud, misalnya, terus mengalami perubahan yang dapat membuat baseline statis menjadi usang, sehingga berisiko melewatkan anomali penting atau justru menyamarkannya dalam pola yang terus berkembang. Sebagai solusi, pembaruan praktik terbaik harus mencakup metode untuk secara terus-menerus mengevaluasi kembali standar dan mengelola baseline yang dinamis. Penggunaan alat yang dapat menyesuaikan baseline secara otomatis dalam lingkungan yang berubah dengan cepat, terutama di cloud dan hybrid, juga perlu dianjurkan.   Ancaman Orang Dalam Banyak pelanggaran keamanan besar yang terjadi berasal dari insiden ancaman orang dalam (insider threat). Jika ditanya, hampir setiap CISO akan mengakui bahwa ancaman orang dalam adalah salah satu tantangan terbesar bagi perusahaan mereka. Masalah ini muncul karena pelanggaran sering kali memanfaatkan akun pengguna dengan hak istimewa (privileged accounts) yang memang memiliki akses sah terhadap data yang dicuri, sehingga sulit untuk dicegah tanpa menghilangkan akses yang diperlukan untuk pekerjaan mereka. Meskipun laporan ini menyinggung pemantauan perilaku pengguna yang tidak biasa, diperlukan lebih banyak perhatian pada deteksi dan mitigasi ancaman orang dalam. Panduan yang lebih rinci mengenai pemantauan akun dengan hak istimewa, analisis perilaku pengguna, serta solusi manajemen identitas dan akses (IAM) akan sangat bermanfaat. Selain itu, banyak insiden ancaman orang dalam berasal dari akun dan tingkat akses yang sudah tidak diperlukan lagi. Oleh karena itu, audit rutin terhadap kontrol akses dan akun dengan hak istimewa harus ditekankan sebagai bagian dari strategi deteksi anomali yang lebih menyeluruh.   Lingkungan Teknologi Operasional (OT) Lingkungan OT sering kali diabaikan dalam panduan keamanan, sehingga dimasukkannya OT dalam standar ini adalah langkah positif. Namun, rekomendasi terkait deteksi anomali dan sistem peringatan masih terlalu umum. Sistem OT, terutama di sektor kritis seperti energi dan manufaktur, membutuhkan strategi yang lebih rinci dan dapat diterapkan secara langsung untuk mengatasi tantangan unik yang mereka hadapi. Sistem ini sering kali menggunakan perangkat lunak tertanam yang memiliki tantangan tersendiri dalam hal pemantauan, pembaruan, dan keamanan. Selain itu, organisasi dengan sistem OT perlu diberikan panduan tentang implementasi pemantauan lintas domain, karena sistem IT, OT, dan cloud sebaiknya diintegrasikan untuk mendapatkan visibilitas seluas mungkin.   Kesimpulan Meskipun laporan ini merupakan kemajuan besar dalam meningkatkan strategi pencatatan peristiwa dan deteksi ancaman, masih ada beberapa area yang perlu diperbaiki agar lebih efektif. Dengan mengatasi kesenjangan skalabilitas bagi organisasi kecil, mengelola baseline yang dinamis, memberikan perhatian lebih pada ancaman orang dalam, serta mengembangkan strategi spesifik untuk lingkungan OT, panduan ini dapat lebih bermanfaat bagi organisasi dari berbagai industri dan ukuran. Hubungi LogRhythm Indonesia untuk meningkatkan keamanan Perusahaan anda, dapatkan juga Informasi terbaru dan juga POC.

Seiring dengan semakin canggihnya ancaman keamanan dan semakin kompleksnya lingkungan siber, penting untuk menemukan cara yang lebih efisien dalam mengelola operasi keamanan. Generative AI (GenAI) telah menarik perhatian dalam beberapa tahun terakhir, tetapi bagaimana cara memanfaatkannya untuk menyederhanakan alur kerja analis? Salah satu solusinya adalah menggunakan GenAI untuk mengotomatiskan tugas-tugas seperti mengonversi aturan SIGMA menjadi aturan korelasi. Dengan otomatisasi ini, analis tidak hanya mengurangi kesalahan manusia, tetapi juga mempercepat respons terhadap potensi ancaman, sehingga memperkuat pertahanan keamanan organisasi secara keseluruhan.   Mengotomatiskan Konversi Aturan SIGMA dengan GenAI Menerjemahkan aturan SIGMA secara manual ke dalam format yang kompatibel dengan SIEM memakan waktu, rentan terhadap kesalahan, dan memerlukan pemahaman mendalam tentang model pengayaan data yang digunakan oleh SIEM. Berkat GenAI, analis dapat menyederhanakan proses ini secara signifikan melalui otomatisasi. Dalam artikel ini, kami akan mengajarkan cara memanfaatkan GenAI untuk mengotomatiskan konversi aturan SIGMA menjadi aturan korelasi generasi berikutnya di Exabeam. AI dapat memahami logika dalam aturan SIGMA dan, dengan memanfaatkan pemetaan yang telah ditentukan sebelumnya, mengonversinya ke dalam bahasa kueri spesifik yang digunakan Exabeam untuk aturan korelasi. Keuntungan Utama Otomatisasi Konversi Aturan SIGMA Efisiensi dan Kecepatan: Otomatisasi memungkinkan tim keamanan membuat aturan korelasi dengan lebih cepat. Alih-alih menafsirkan setiap aturan SIGMA secara manual dan menulis kueri Exabeam yang sesuai, GenAI dapat menyelesaikan tugas ini dalam hitungan detik hanya dengan mengunggah URL atau file YML. Konsistensi dan Akurasi: Penerjemahan manual rentan terhadap kesalahan, terutama saat menafsirkan kondisi yang kompleks atau menangani aturan dalam skala besar. GenAI memastikan konversi yang akurat dengan mengikuti pemetaan yang konsisten antara bidang SIGMA dan bahasa kueri Exabeam. Misalnya, aturan SIGMA yang mencari perintah command-line dengan kata kunci seperti “iex” dan “invoke-expression” dapat secara otomatis dikonversi ke dalam format Exabeam. Ini memastikan bahwa logika yang sama diterapkan di berbagai platform, menghilangkan inkonsistensi. Skalabilitas: Seiring pertumbuhan organisasi, jumlah aturan deteksi dan platform yang harus mereka kelola juga meningkat. GenAI menyediakan solusi yang skalabel dengan mengotomatiskan pembuatan aturan ini, mengurangi beban kerja analis keamanan, dan memungkinkan mereka untuk lebih fokus pada tugas strategis seperti threat hunting dan respons insiden. Komponen Kunci dalam Terjemahan Berbasis AI Proses otomatisasi terjemahan melibatkan beberapa langkah. Pertama, AI menafsirkan aturan SIGMA dengan memahami logika deteksi, kondisi, dan pemetaan bidang data. Dengan menggunakan pemetaan yang telah ditentukan sebelumnya, seperti konversi bidang (CommandLine di SIGMA menjadi command_line di Exabeam), AI menerjemahkan setiap komponen ke dalam kueri Exabeam yang sesuai. Sebagai contoh, aturan SIGMA yang mendeteksi file dmp mencurigakan, modifikasi registri, atau run keys: Konversi ini, yang dilakukan secara otomatis dengan GenAI, memastikan akurasi sekaligus mempertahankan integritas logika deteksi.   Penggunaan Tambahan GenAI dalam Otomasi Keamanan Exabeam memanfaatkan GenAI dan machine learning dalam berbagai bidang seperti prioritas peringatan, deteksi anomali secara real-time, dan threat hunting otomatis. Contoh di atas menunjukkan bagaimana teknologi baru ini dapat digunakan untuk lebih mengotomatiskan tugas-tugas yang berulang dan rentan terhadap kesalahan. Dengan otomatisasi ini, analis dan insinyur deteksi dapat terbebas dari tugas manual yang memakan waktu, sehingga mereka dapat fokus pada pekerjaan yang hanya bisa dan seharusnya dilakukan oleh manusia. Mengotomatiskan Konversi Aturan SIGMA dengan Generative AI Seperti semua alat GenAI, diperlukan beberapa input dan perintah untuk menjalankannya. Kasus berikut menunjukkan proses yang menggunakan ChatGPT, di mana pengguna dapat memberikan serangkaian instruksi untuk mengonversi aturan SIGMA menjadi aturan korelasi Exabeam. Konversi ini dapat dilakukan dengan beberapa cara: Menempelkan URL aturan SIGMA ke dalam bilah pesan Mengunggah file secara langsung Menyalin dan menempelkan teks lalu mengirimkannya sebagai bagian dari percakapan Detail lebih lanjut mengenai proses pemetaan ini dapat ditemukan di bagian lampiran. Gambar berikut menunjukkan contoh pengiriman URL langsung dari Red Canary untuk aturan SIGMA dalam format YML. Sebagai alternatif, kita dapat langsung menyediakan file YML untuk diproses. Terakhir, kita dapat menyalin dan menempelkan isi aturan SIGMA, dan alat ini akan mengonversinya menjadi aturan korelasi.   Kesimpulan Manfaat menggunakan GenAI untuk mengonversi aturan SIGMA ke aturan korelasi Exabeam terletak pada konsistensi hasil dan penghematan waktu. Meskipun alat ini sangat berguna untuk mengotomatiskan dan menstandarkan konversi, kita perlu memastikan bahwa teknologi yang mendasarinya tidak “menghasilkan” solusi yang keliru. Disarankan untuk tidak secara membabi buta mengambil hasil dari konversi ini dan langsung menggunakannya dalam sistem produksi. Harap tinjau hasil konversi untuk memastikan akurasi.   Lampiran Perintah berikut digunakan untuk memberi instruksi kepada model target agar mengonversi dari sintaks SIGMA asli ke Aturan Korelasi Exabeam. Sebagai seorang insinyur keamanan senior, saya menggunakan pemetaan tertentu untuk menafsirkan logika deteksi dan mengonversinya ke dalam bahasa kueri berdasarkan aturan yang terperinci, memastikan bahwa semua kunci dalam kueri ditulis dengan huruf kecil. Anda akan membaca URL dari web. Fungsi wildcard (WLD) tidak memerlukan tanda bintang eksplisit karena ini sudah tersirat. Saat membuat aturan korelasi, gunakan pemetaan ini: Untuk FieldName, manfaatkan bagian pemetaan bidang di bawah ini. Contoh Lalu akan di translate ke : Dan bukan : SearchLogic: re.regex               ->           RGX(“string”) contains               ->           WLD(“string”) wildcard               ->           WLD(“string”) startswith            ->           RGX(“^string”) endswith              ->           RGX(“string$”) cidr                       ->           [x.x.x.x/y] all -> field_name: “item1” AND field_name : “item2” AND field_name : “itemN” any         ->           field_name:(“item1″,”item2″,”item3”) not         ->           AND       NOT       field_name:        “item1” and ->   field_name:        “item1” AND       field_name2:      “item2” or -> field_name: “item2” OR field_name: “item1” Field Mapping: ScriptBlockText   ->           scriptblock_text EventID ->           event_code LogonType           ->           logon_type UserName           ->           user SrcIP      ->          src_ip DstIP      ->          dest_ip ParentImage       ->          parent_process_name ProcessName     ->          process_name FilePath ->          file_path CommandLine->               command_line RegistryKey         ->           registry_key Hashes -> md5