Category: Blog

Mendapatkan data ke dalam instance security information and event management (SIEM) Anda sangat penting, dan LogRhythm sangat berfokus untuk membuat proses ini lebih mudah dilakukan. Sebagai bagian dari rilis produk kuartalan terbaru kami, LogRhythm SIEM versi 7.15 membangun inovasi yang kami hadirkan pada Oktober 2023 dan kini mendukung pengelolaan Beats tambahan melalui Web Console. Rilis terbaru ini mencakup peningkatan platform yang meliputi penyederhanaan proses onboarding log Event Windows dan meningkatkan alur kerja analis saat meninjau pemberitahuan alarm. Selain itu, rilis ini juga mencakup tutorial LogRhythm SIEM di dalam aplikasi yang baru, serta log source yang didukung yang baru dan yang telah diperbarui. Baca terus untuk pemahaman lebih dalam tentang rilis LogRhythm SIEM terbaru. Hemat Waktu Saat Onboarding Log Sources Baru di Web Console Di Exabeam, kami berkomitmen untuk membuat pekerjaan bagi administrator dan analis semudah mungkin. Itulah mengapa kami memperluas jumlah Beats yang dapat dikelola oleh administrator melalui Web Console. Dengan melakukan onboarding log sources di Web Console, Anda dapat mengurangi beban kerja Administrasi Beat hingga setengahnya. Pada rilis terbaru, LogRhythm SIEM kini mendukung manajemen untuk enam Beats tambahan, termasuk: Gmail Message Tracking Okta Darktrace Sophos Qualys FIM GSuite Pada kuartal lalu, kami memperkenalkan alur kerja baru untuk onboarding data di Web Console, menjadikan proses ini sebagai pengalaman yang dipandu dengan wizard. Pengalaman ini memudahkan Anda untuk memasukkan data ke dalam sistem dan mempercepat proses onboarding. Ini mempercepat onboarding Beats dan mengurangi kebutuhan untuk berpindah antara Web Console dan Client Console, mengurangi beban kerja Administrasi Beat hingga setengahnya. Mengelola platform SIEM tidak selalu mudah, jadi tim kami telah membuat pengalaman Anda semakin baik. LogRhythm SIEM 7.15 menghadirkan perbaikan platform yang meningkatkan alur kerja Anda, menghemat waktu, dan mengurangi jumlah langkah untuk menyelesaikan tugas. Jalur Migrasi ke Rocky Linux Seiring dengan berakhirnya masa dukungan CentOS 7 dari organisasi Red Hat, kami memahami pentingnya menyediakan sistem operasi alternatif untuk memigrasi mesin DX dan OC. Itulah sebabnya kami membuat panduan rinci untuk migrasi ke Rocky Linux. Jalur migrasi ini menawarkan dukungan berkelanjutan dari vendor OS untuk menangani masalah keamanan dan perbaikan bug. Ekspor Log Web Console dalam Waktu Lokal Pengguna LogRhythm SIEM mempermudah konversi zona waktu saat mengekspor log dari Web Console ke file CSV. Sekarang, pelanggan dapat mengekspor file CSV dalam zona waktu lokal mereka, alih-alih harus mengonversi dari zona waktu Coordinated Universal Time (UTC). Pengguna kini tidak perlu lagi melalui proses konversi yang rumit untuk mengidentifikasi waktu yang tepat, meningkatkan pengalaman mereka dengan platform SIEM. Pengisian Otomatis Jalur Flat File untuk Windows Event Logs Untuk mempermudah alur kerja dan tugas bagi pengguna LogRhythm SIEM, kami telah mengubah pengaturan untuk mengisi jalur flat file secara otomatis untuk sumber log berbasis Windows Event Log. Sekarang, ketika pengguna menambahkan log Windows PowerShell Event atau log Windows SysMon Event, misalnya, LogRhythm SIEM 7.15 secara otomatis memperbarui kolom tersebut. Pembaruan ini menghemat waktu pengguna dan memberikan pengalaman yang lebih efisien.   Tautan URL dalam Pemberitahuan Alarm Menavigasi ke alarm dari pemberitahuan kini lebih mudah dari sebelumnya. Tim kami telah meningkatkan pengalaman dengan mengarahkan Anda langsung ke detail alarm, bahkan jika Anda sebelumnya tidak masuk ke Web Console. Setelah mengklik URL dalam pemberitahuan dan masuk ke Web Console, kami sekarang secara otomatis mengarahkan Anda ke alarm yang tepat. Pembaruan ini menghemat waktu Anda dan menghilangkan kerepotan mencari pemberitahuan penting. Tutorial Pusat Sumber Daya dalam Platform Kami tahu pentingnya tetap terupdate dengan pembaruan terbaru dari SIEM dan sumber daya pelatihan. Untuk memberikan cara yang mudah untuk mengikuti pelatihan platform, kami meluncurkan lima tutorial baru di Pusat Sumber Daya dalam Web Console. Tutorial tersebut meliputi: Onboarding Beats: Menambahkan Beat dan Log Source baru melibatkan tiga langkah utama yang harus diselesaikan secara berurutan. Tutorial ini menunjukkan langkah-langkahnya, termasuk: Verifikasi kesehatan Open Collector Anda Tambahkan Beat Tambahkan Log Source Ikhtisar Manajemen Kasus: Kasus menyediakan repositori terpusat untuk melacak dan menyelidiki kejadian-kejadian yang menarik. Tonton tutorial untuk melihat tur singkat, termasuk: Membuat kasus Menambahkan bukti Memperbarui detail kasus Menyesuaikan Halaman Kasus Pencarian: Ikuti tur singkat tentang cara menggunakan kemampuan Pencarian dalam LogRhythm SIEM, termasuk: Membangun query Menjalankan tail Opsi lanjutan Manajemen Alarm & Praktik Terbaik: Alarm adalah catatan kejadian, atau rangkaian kejadian, yang memicu aturan alarm. Dalam tutorial ini, tonton tur singkat tentang: Fitur kartu alarm Detail panel Inspektur Tindakan otomatis SmartResponse™ Ikhtisar Dashboard: Dashboard menyediakan gambaran umum yang mudah dan kuat dari log yang diproses oleh SIEM Anda. Tur dashboard ini akan mencakup: Fitur kunci di dashboard Cara beralih antara dashboard Menambahkan dan menyesuaikan widget   Dukungan Sumber Log Berkelanjutan LogRhythm SIEM terus memperluas sumber log yang didukung untuk meningkatkan korelasi dan analisis. Kami sekarang menawarkan dukungan untuk sumber log berikut: FortiNAC: Memberikan perlindungan terhadap ancaman IoT, memperluas kontrol ke perangkat pihak ketiga, dan mengorkestrasi respons otomatis terhadap berbagai jenis kejadian jaringan. Tenable.OT: Melindungi jaringan industri dari ancaman siber, ancaman dari dalam, dan kesalahan manusia. Kebijakan baru membantu mencegah kesalahan klasifikasi dan memberikan pemrosesan yang lebih konsisten terhadap data sumber log untuk Tenable Operational Technology (OT), sementara aturan MPE baru memproses metadata log ke bidang skema yang benar dan mengklasifikasikan data sumber log yang sangat kompleks. strongSwan: Solusi IPsec lengkap yang memberikan enkripsi dan otentikasi untuk server dan klien. F5 Big IP System: Sekumpulan produk pengiriman aplikasi yang bekerja bersama untuk memastikan ketersediaan tinggi, kinerja yang lebih baik, keamanan aplikasi, dan kontrol akses. QRadar: Kebijakan baru untuk mengumpulkan dan memproses log keamanan jaringan dari QRadar. Kami juga meningkatkan lebih dari 35 sumber log sebagai bagian dari LogRhythm SIEM 7.15, termasuk: Mimecast: Pembaruan Kebijakan dan alur kerja untuk mengumpulkan log dari Mimecast. Imperva Database Activity Monitor (DAM): Pembaruan Kebijakan membantu mencegah kesalahan klasifikasi dan memberikan pemrosesan yang lebih konsisten terhadap data sumber log untuk Imperva Database Activity Monitor (DAM), sementara aturan Message Processing Engine (MPE) baru memproses metadata log ke bidang skema yang benar dan mengklasifikasikan data sumber log yang sangat kompleks. Palo Alto Cortex Data Lake: Pembaruan Kebijakan untuk perubahan skema membantu mencegah kesalahan klasifikasi dan memberikan pemrosesan yang lebih konsisten terhadap data sumber log untuk Palo Alto Networks® Cortex Data Lake. Unduh LogRhythm SIEM 7.15 Hari Ini! Jangan lewatkan…

Permintaan untuk mengkonsumsi data dan telemetry dari berbagai sumber telah berkembang pesat dalam beberapa tahun terakhir. Tanpa kemampuan untuk mendukung berbagai sumber log, pelanggan sering kali kekurangan visibilitas di seluruh perusahaan mereka. Selain itu, kebutuhan untuk memahami bagaimana menulis pipeline JQ untuk mengkonsumsi data dari sumber API, seperti pemroses JSON baris perintah yang ringan dan fleksibel, sering kali menjadi tantangan bagi pengguna. Kami menyadari keterbatasan ini dan telah melakukan langkah-langkah untuk mempermudah tantangan dalam pengumpulan log. Sebagai bagian dari rilis April untuk LogRhythm SIEM versi 7.12, kami membuat lebih mudah bagi pelanggan untuk onboard sumber log dan kami juga meningkatkan alur kerja untuk mendorong efisiensi.   Kelola Open Collector Dengan LogRhythm SIEM versi 7.12, pelanggan dapat mengakses antarmuka sederhana di Open Collector (OC) Admin. OC Admin mengotomatiskan pembuatan sumber log dalam konsol LogRhythm SIEM, meningkatkan kecepatan dan kesederhanaan pengalaman pengguna secara keseluruhan untuk mengurangi beban operasional. Dengan OC Admin, kami menghilangkan kebutuhan bagi pengguna untuk menulis pipeline JQ dengan membuat antarmuka yang mudah digunakan untuk memparsing data dan menyediakan manajemen terpusat dari Open Collectors yang telah diterapkan. Pelanggan kini dapat menggunakan ikon “Aksi” baru di halaman OpenCollectors. Pelanggan juga dapat mengakses statistik langsung seperti penggunaan CPU, memori, jaringan, penyimpanan, dan thread/proses melalui OC Admin.   Memperluas Pengumpulan Log dengan Beats Baru Untuk memenuhi permintaan pelanggan dan mitra terkait kemampuan pengumpulan log tambahan, LogRhythm SIEM memperluas pengumpulan log-nya, memungkinkan pelanggan untuk lebih mudah dan cepat mengkonsumsi data dari sumber log API serta mengelola data tersebut secara terpusat. LogRhythm SIEM menambahkan Beats berikut: Prisma Symantec Web Secure Service (WSS) Microsoft Graph API Carbon Black Cloud Cisco AMP DUO Proofpoint Beats adalah platform gratis dan terbuka untuk pengiriman data dengan tujuan tunggal, yang mengirimkan data dari mesin dan sistem ke sistem logging seperti Open Collector melalui protokol yang aman dan sadar terhadap tekanan balik. Setiap Beat dirancang untuk terhubung dengan satu jenis teknologi, dengan tujuan untuk menjadi spesialis dan se-ringan mungkin.   Mempermudah Administrasi Open Collector Memantau collectors di seluruh perusahaan sangat penting untuk memastikan informasi yang tepat dikumpulkan tepat waktu. Sebagai bagian dari versi 7.12, LogRhythm SIEM memperkenalkan kemampuan administrasi ringan dalam OC Admin. Di halaman Open Collector Manage, pelanggan dapat melakukan serangkaian tindakan seperti memulai dan menghentikan, mengimpor dan mengekspor konfigurasi penuh, melihat konfigurasi tingkat tinggi di UI, mengekspor log sebagai file, dan melihat log secara real-time di UI.   Meningkatkan OC Admin dengan Perbaikan UI Pengalaman analis yang baik sangat penting ketika bekerja dengan data, itulah sebabnya Open Collector telah ditingkatkan dengan alur kerja baru dan pembaruan antarmuka pengguna. OC Admin kini dilengkapi dengan breadcrumb bar untuk membantu Anda menavigasi UI dengan lebih mudah, serta memberikan tampilan yang lebih rapi pada alur kerja.   Baru Memulai dengan Pengumpulan Log Peningkatan terbaru pada kemampuan pengumpulan log kami menjadi dasar untuk hal-hal besar yang akan datang. Untuk menginstal OC Admin atau mempelajari lebih lanjut, kunjungi halaman dokumentasi OC Admin. Hubungi LogRhythm Indonesia untuk mengetahui detail produk dan juga melakukan POC, kami siap membantu mengamankan Perusahaan anda dari serangan siber.

Dalam lingkungan telekomunikasi, penggunaan protokol Signaling System No.7 (SS7) sangat penting, terutama pada jaringan 2G. Jika Anda penasaran bagaimana SS7 bekerja, protokol SS7 adalah standar telekomunikasi internasional yang digunakan untuk mengatur jaringan telepon publik yang dipertukarkan (PSTN) dan salah satu layanan yang ditawarkan adalah untuk Layanan Pesan Singkat (SMS). Salah satu kekhawatiran umum adalah bahwa penyerang mencoba mengeksploitasi kerentanannya pada protokol SS7 yang dapat membahayakan komunikasi suara dan SMS. Untuk mendeteksi serangan SS7, Positive Technologies mengembangkan solusi yang disebut Telecom Attack Discovery (TAD). Karena sifat dan cakupan serangan yang dapat melintas dari teknologi informasi (IT) ke teknologi operasional (OT), kami telah mengimplementasikan TAD ke dalam LogRhythm SIEM untuk membantu melawan serangan SS7.   Cara Mendeteksi dan Merespons Serangan SS7 pada Jaringan dengan Integrasi TAD LogRhythm SIEM Berikut adalah empat kerentanannya SS7 yang paling umum yang dapat dideteksi oleh pelanggan dan organisasi telekomunikasi menggunakan integrasi TAD pada LogRhythm SIEM:   Deteksi Paket Interkoneksi yang Dilarang Penyerang dapat mengeksploitasi pesan yang diterima dari tautan yang saling terhubung dengan jaringan lain, tanpa adanya kesepakatan eksplisit untuk melakukannya. Berikut adalah beberapa contoh kerusakan yang dapat ditimbulkan oleh jenis serangan SS7 ini: Penolakan Layanan (DoS): Gangguan operasi node jaringan Gangguan layanan langganan telepon Penipuan: Penggunaan ilegal sumber daya atau layanan jaringan Transfer uang dari akun pelanggan Pengalihan panggilan Modifikasi profil pelanggan Penyadapan Data: Pengungkapan, penyadapan, atau pencurian informasi pelanggan seperti lokasi, pesan teks, dan percakapan Akses ke rincian konfigurasi jaringan Untuk semua contoh ini, LogRhythm SIEM memiliki kemampuan pemberitahuan otomatis dan alarm menggunakan Risk-Based Priority (RBP) untuk mendeteksi jenis serangan ini, dan pemberitahuan akan dikirimkan kepada pengguna atau grup yang tepat.   Menggunakan TAD dalam Mengidentifikasi Kerentanannya SS7 Dengan mengintegrasikan Telecom Attack Discovery (TAD) ke dalam LogRhythm SIEM, organisasi dapat melakukan deteksi lebih proaktif terhadap serangan SS7 yang dapat terjadi di jaringan mereka. Pendekatan ini membantu mengidentifikasi potensi serangan lebih cepat, mengurangi kerusakan, dan memitigasi ancaman sebelum semakin parah.   Tindak Lanjut dan Respons Insiden Setelah serangan terdeteksi, LogRhythm memungkinkan respons insiden yang lebih cepat dengan menyediakan otomatisasi alur kerja untuk tindakan yang sesuai. Ini termasuk penutupan akses yang tidak sah, pemblokiran tautan yang terinfeksi, dan pengamanan data pelanggan untuk mencegah penyebaran lebih lanjut dari ancaman.   Pelaporan dan Kepatuhan LogRhythm SIEM memfasilitasi pelaporan terperinci terkait serangan SS7 yang terdeteksi, memberikan informasi penting untuk kepatuhan regulasi serta analisis pasca-kejadian, sehingga memastikan semua langkah mitigasi terdokumentasi dengan baik. Integrasi TAD dalam LogRhythm SIEM sangat bermanfaat bagi organisasi telekomunikasi dalam mengidentifikasi, merespons, dan memitigasi potensi serangan SS7 secara efisien.   Deteksi Paket dari Jaringan Tidak Sah yang Memerlukan Jawaban Serangan ini mengeksploitasi pesan yang seharusnya diterima terutama terkait dengan pelanggan roaming (pengunjung) yang berasal dari jaringan rumah pelanggan tersebut dan memerlukan jawaban. Dampak dari serangan ini adalah pencurian data.   Dampak Serangan: Penyadapan Data: Informasi pelanggan, seperti lokasi, pesan teks, dan percakapan, dapat disadap atau dicuri tanpa izin. LogRhythm SIEM dengan integrasi TAD dapat mendeteksi paket yang berasal dari jaringan yang tidak sah dan memerlukan jawaban. Sistem ini membantu dalam mengidentifikasi dan mengamankan jalur komunikasi yang terancam untuk mencegah kebocoran data lebih lanjut. Deteksi Paket Lokasi Mencurigakan Serangan SS7 ini mengeksploitasi pesan yang terkait dengan aktivitas pelanggan roaming (selain pendaftaran pelanggan) dari jaringan yang sedang dikunjungi oleh pelanggan tersebut. Alamat bagian kontrol koneksi sinyal panggilan (SCCP) pada pesan-pesan ini seharusnya mencocokkan alamat Visitor Location Register (VLR) yang sedang berlaku. Dampak dari serangan ini adalah pencurian data. Dampak Serangan: Penyadapan Data: Informasi pelanggan, seperti lokasi, pesan teks, dan percakapan, bisa disadap atau dicuri. Dengan menggunakan LogRhythm SIEM yang terintegrasi dengan TAD, serangan ini dapat dideteksi secara efisien. Sistem ini memonitor aktivitas roaming dan memverifikasi kesesuaian alamat SCCP dengan alamat VLR yang relevan, serta memberikan peringatan jika ada ketidaksesuaian yang mencurigakan.   Deteksi Upaya Pendaftaran Mencurigakan Serangan ini mengeksploitasi pesan yang terlibat langsung dalam pendaftaran pelanggan, seperti UL (Update Location) dan Serving Area Interface (SAI). Pesan-pesan ini seharusnya hanya diterima terkait dengan pelanggan roaming yang berasal dari jaringan yang sedang dikunjungi oleh pelanggan tersebut. Dampak dari serangan ini adalah Penolakan Layanan (DoS) dan penipuan. Dampak Serangan: Penolakan Layanan (DoS): Mengganggu proses pendaftaran pelanggan, yang dapat menyebabkan ketidakmampuan pelanggan untuk mengakses layanan. Penipuan: Penyerang dapat memalsukan identitas atau mengambil alih pendaftaran pelanggan untuk melakukan aktivitas ilegal seperti pencurian identitas atau penyalahgunaan akun. Dengan integrasi LogRhythm SIEM dan TAD, serangan ini dapat terdeteksi dengan memonitor upaya pendaftaran yang mencurigakan, terutama yang berasal dari jaringan yang tidak sah atau tidak sesuai dengan lokasi pelanggan yang sebenarnya. Peringatan otomatis dapat dikirimkan ketika ada upaya pendaftaran yang mencurigakan untuk memitigasi potensi ancaman.   Identifikasi dan Respons Terhadap Serangan SS7 di Lingkungan Telco Menyediakan pemantauan 24×7 adalah langkah penting lainnya dalam mendeteksi serangan SS7 di lingkungan telekomunikasi. Layout Event Dashboard dan Analyze Dashboard dari LogRhythm SIEM memanfaatkan blok bangunan yang sama (widget) untuk menyajikan kasus penggunaan yang membantu analis dalam mengidentifikasi dan menyelidiki aktivitas. LogRhythm SIEM menyediakan Telco Security Dashboard yang mengumpulkan semua informasi dari TAD dan menampilkannya dalam bentuk live. Dengan cara ini, pelanggan dapat dengan mudah memantau ketidaknormalan yang terpicu di lingkungan OT telco mereka. Kemampuan Pelaporan Terjadwal Kemampuan pelaporan yang komprehensif dari LogRhythm SIEM menggabungkan kenyamanan laporan yang telah dikemas sebelumnya dengan fleksibilitas laporan kustom untuk memungkinkan distribusi data yang mudah. LogRhythm SIEM dapat dikonfigurasi untuk mengirim pemberitahuan dan laporan langsung kepada individu, grup, direktori bersama, helpdesk — atau kombinasi dari semuanya — memungkinkan penyebaran informasi yang efektif di seluruh tenaga kerja yang tersebar. Laporan dapat dijadwalkan untuk pengiriman atau dihasilkan sesuai permintaan. Laporan ini dapat dengan mudah diakses melalui Personal Dashboard waktu nyata, pemberitahuan email, atau alat ekspor seperti file Excel dan PDF.   Merespons Serangan SS7 dengan SOAR LogRhythm SIEM dengan Case Management dan SmartResponse automation™ menyederhanakan respons insiden dan memungkinkan orkestrasi keamanan melalui alur kerja analis yang sudah ditentukan, alat kolaborasi tim, dan proses eskalasi bawaan. Untuk membantu mengurangi dampak serangan SS7, SmartResponse memungkinkan otomatisasi respons insiden yang meningkatkan time to response (TTR). Analis dapat menjalankan tindakan otomatis sepenuhnya, seperti pembuatan kasus atau penugasan playbook.   Amankan Organisasi Telekomunikasi Anda dengan LogRhythm SIEM Dengan semakin meningkatnya jumlah serangan…

Dalam lanskap keamanan siber yang berkembang pesat, interoperabilitas dan otomatisasi adalah kunci untuk tetap unggul dalam menghadapi ancaman yang terus meningkat. Itulah sebabnya dukungan Exabeam untuk OpenAPI Specification (OAS) untuk kapabilitas Security Orchestration, Automation, and Response (SOAR), yang merevolusi operasi keamanan. Exabeam New-Scale Security Operations Platform adalah platform SOC pertama yang mendukung OAS. OAS, sebuah kerangka standar untuk mendefinisikan API, memungkinkan integrasi dan otomatisasi yang mulus di seluruh alat, membantu tim keamanan mengatasi tantangan seperti kelelahan pemberitahuan, data terisolasi, dan alur kerja manual. Meskipun dukungan untuk OpenAPI mungkin tidak secara langsung meningkatkan posisi keamanan perusahaan, dampak operasionalnya membebaskan sumber daya dan waktu yang berharga untuk fokus pada inisiatif keamanan strategis sambil menciptakan alur kerja yang lebih efisien di lingkungan multivendor. Berikut adalah 10 cara transformatif dukungan Exabeam untuk OAS dapat menyederhanakan operasi keamanan: Integrasi Intelijen Ancaman Tanpa Hambatan Exabeam dengan mudah terintegrasi dengan platform seperti VirusTotal, Recorded Future, atau ThreatConnect, memperkaya pemberitahuan keamanan dengan skor reputasi untuk IP, domain, dan hash file. Tim SOC dapat mengakses intelijen kontekstual langsung dalam alur kerja mereka, memungkinkan pengambilan keputusan yang lebih cepat dan lebih tepat. Nilai Operasional: Mengurangi waktu yang dihabiskan untuk mencari konteks dengan mengotomatiskan penyampaian intelijen ancaman.       2. Respons Endpoint yang Lebih Cepat Exabeam terintegrasi dengan CrowdStrike, SentinelOne, atau Carbon Black. Dengan OAS, Exabeam dapat secara otomatis mengisolasi endpoint yang terkompromi atau menarik data forensik sebagai respons terhadap perilaku yang tidak biasa. Nilai Keamanan: Penahanan ancaman yang cepat mengurangi kemungkinan pergerakan lateral dan pelanggaran yang lebih besar.       3. Manajemen Identitas dan Akses yang Lebih Cerdas Dengan mendukung OAS, Exabeam terhubung dengan mulus ke Okta, Azure AD, atau Duo Security untuk menegakkan kontrol akses adaptif. Misalnya, ketika Exabeam menandai perilaku login yang mencurigakan, alat IAM memicu langkah autentikasi tambahan. Nilai Keamanan: Mencegah pengambilalihan akun dengan mengintegrasikan analitik perilaku ke dalam alur kerja kontrol akses.       4. Visibilitas Pengguna dan Jaringan yang Terpadu Dukungan OAS memungkinkan integrasi dengan alat NDR seperti Darktrace, ExtraHop, atau Corelight. Dengan mengkorelasikan analitik perilaku pengguna dari Exabeam dengan anomali jaringan, tim keamanan mendapatkan pandangan holistik terhadap ancaman yang mungkin ada. Nilai Keamanan: Meningkatkan deteksi dengan menghubungkan data pengguna dan jaringan, memastikan tidak ada aktivitas mencurigakan yang terlewat.       5. Manajemen Kerentanannya yang Diprioritaskan Alat seperti Tenable, Qualys, atau Rapid7 terintegrasi dengan Exabeam untuk memprioritaskan kerentanannya berdasarkan wawasan risiko real-time. Misalnya, Exabeam menandai sistem berisiko tinggi, memicu penerapan patch otomatis. Nilai Operasional: Mengoptimalkan upaya remediasi, menghemat waktu, dan fokus pada kerentanannya yang kritis.       6. Keamanan Cloud yang Ditingkatkan Exabeam memanfaatkan OAS untuk terintegrasi dengan AWS Security Hub, Google Chronicle, atau Microsoft Defender for Cloud. Ini membawa kejadian keamanan berbasis cloud ke dalam analitik Exabeam, memungkinkan visibilitas cloud hybrid. Nilai Operasional: Menyederhanakan pengelolaan keamanan cloud dan on-premise, mengurangi titik buta di lingkungan hybrid.       7. Kolaborasi SOC yang Lebih Lancar Dengan integrasi ke Slack, Microsoft Teams, atau ServiceNow, Exabeam secara otomatis memberi pemberitahuan kepada tim SOC tentang insiden prioritas tinggi atau membuat tiket ServiceNow langsung dari antarmukanya. Nilai Operasional: Mempercepat respons insiden dengan kolaborasi real-time dan manajemen tugas.       8. Pipa Pengembangan yang Aman Alat DevSecOps seperti Jenkins, GitHub, atau GitLab terintegrasi dengan Exabeam untuk memantau perilaku yang tidak biasa selama siklus hidup pengembangan perangkat lunak (SDLC). Akses repositori yang mencurigakan memicu respons otomatis. Nilai Keamanan: Melindungi kode dan mencegah ancaman dari dalam selama pengembangan.       9. Pencegahan Kehilangan Data yang Lebih Baik Exabeam bekerja dengan solusi DLP seperti Symantec DLP, Forcepoint, atau Nightfall AI untuk mendeteksi dan memblokir upaya eksfiltrasi data. Misalnya, pemberitahuan dari kemampuan UEBA Exabeam memicu penegakan DLP otomatis. Nilai Keamanan: Memperkuat pertahanan terhadap ancaman dari dalam dan melindungi data sensitif.       10. Playbook Otomatis untuk Respons Inside Dengan menggunakan OAS, Exabeam mendukung playbook otomatis dengan alat seperti Ansible, Terraform, atau skrip Python kustom. Playbook ini melakukan tindakan seperti mengisolasi sistem, memblokir pengguna, atau mengumpulkan data forensik. Nilai Operasional: Menjamin respons insiden yang konsisten dan skalabel dengan intervensi manual minimal. Mengapa Spesifikasi OpenAPI adalah Game-Changer Mendukung OAS bukan hanya tentang integrasi—ini adalah transformasi. OAS menstandarkan cara alat berkomunikasi, membuatnya lebih mudah bagi tim SOC untuk membangun alur kerja yang sesuai dengan kebutuhan spesifik mereka. Dengan menyederhanakan operasi dan mendorong kolaborasi, OpenAPI menciptakan efisiensi operasional yang diperlukan agar tim keamanan dapat mengalokasikan lebih banyak waktu untuk mitigasi ancaman proaktif dan perbaikan strategis terhadap postur keamanan mereka. Dukungan Exabeam untuk OAS memposisikan platform ini sebagai pusat utama untuk operasi keamanan, menciptakan ekosistem yang terintegrasi, otomatis, dan efisien untuk melawan ancaman siber modern. Kesimpulan – Keuntungan API: Menyatukan Tim Keamanan Seperti Tidak Pernah Sebelumnya Industri cybersecurity berkembang pesat berkat kolaborasi, dan mendukung Spesifikasi OpenAPI adalah langkah besar untuk memecah silo-silo yang ada. Exabeam selalu berada di garis depan inovasi, dan dengan mengadopsi OAS, Exabeam memimpin jalan dalam menciptakan operasi keamanan yang lebih cerdas dan terhubung. Meskipun efisiensi operasional yang didorong oleh OpenAPI tidak langsung mengamankan organisasi, hal tersebut memberdayakan tim keamanan untuk mencapai lebih banyak dengan sumber daya mereka, yang pada gilirannya dapat meningkatkan postur keamanan mereka secara keseluruhan. Apa Selanjutnya? Jika Anda siap melihat bagaimana Logrhythm Indonesia dapat mengubah SOC Anda, mari bicarakan lebih lanjut. Mendukung OpenAPI bukan hanya visi; ini adalah kenyataan, yang mendorong masa depan keamanan yang lebih terintegrasi.

Pengantar: Evolusi Deteksi Ancaman Cara kita mendeteksi ancaman siber telah berkembang pesat, tetapi mari kita jujur—metode tradisional memiliki banyak kelemahan. Dahulu, kita mengandalkan aturan korelasi—logika sederhana seperti if-this-then-that—untuk menandai aktivitas mencurigakan. Metode ini bekerja… kurang lebih. Namun, dengan pertumbuhan data yang eksponensial, efektivitas pendekatan berbasis aturan ini semakin terbatas. Hasilnya? Analis keamanan dibanjiri dengan false positives, ancaman yang terlewatkan, dan kebutuhan untuk terus menyempurnakan aturan secara manual guna mengikuti metode serangan yang terus berkembang. Menurut laporan State of AI in Cybersecurity 2024 dari Ponemon Institute, sekitar 45% dari peringatan yang dihasilkan adalah false positives. Itu berarti hampir separuh waktu tim Security Operations Center (SOC) dihabiskan untuk hal yang tidak relevan. Tidak mengherankan jika aturan korelasi semakin kehilangan relevansinya. Inilah saatnya teknologi seperti machine learning (ML) dan artificial intelligence (AI) mengambil alih. Teknologi ini, terutama user and entity behavior analytics (UEBA), mendefinisikan ulang apa yang mungkin dicapai dalam deteksi ancaman. Dan siapa yang memimpin inovasi ini? Exabeam, yang telah lima kali diakui sebagai Pemimpin dalam Gartner Magic Quadrant for SIEM, dengan kemampuan deteksi berbasis ML yang revolusioner.   Masa Awal: Ketika Aturan Korelasi Sudah Cukup Pada masa awal penggunaan Security Information and Event Management (SIEM), aturan korelasi sudah cukup efektif. Aturan berbasis logika yang telah ditentukan sebelumnya—seperti, “Jika terjadi lima kali kegagalan login dalam waktu sepuluh menit, aktifkan peringatan”—membantu organisasi memantau aktivitas mencurigakan di jaringan mereka. Aturan ini bekerja dengan menavigasi data log, menerapkan pola tertentu, dan menyoroti ancaman yang sudah diketahui. Namun, ada masalah: aturan korelasi memiliki batasan. Aturan ini hanya bisa mendeteksi ancaman berdasarkan apa yang sudah kita ketahui sebelumnya (known/knowns). Jika muncul teknik serangan baru atau variasi halus dari teknik yang sudah ada, aturan ini tidak akan menangkapnya. Lebih parah lagi, aturan ini menghasilkan banyak false positives, yang membanjiri Security Operations Center (SOC) dengan peringatan berkualitas rendah. Karena aturan korelasi tidak dapat beradaptasi secara otomatis, analis keamanan harus menghabiskan berjam-jam untuk menyesuaikan aturan agar tetap relevan dengan ancaman yang terus berkembang. Ini adalah tantangan berat yang sering kali menyebabkan tim keamanan mengalami kelelahan total.   Peralihan ke Analitik Berbasis Machine Learning: UEBA Machine learning (ML) telah mengubah paradigma deteksi ancaman. Tidak seperti aturan korelasi statis, User and Entity Behavior Analytics (UEBA) tidak bergantung pada logika yang telah ditulis sebelumnya. Sebaliknya, UEBA menggunakan algoritma ML untuk mempelajari dan membuat garis dasar (baseline) perilaku “normal.” Dengan menganalisis tindakan pengguna dan entitas dari waktu ke waktu, UEBA dapat mengidentifikasi anomali—baik itu perilaku orang dalam, eksploitasi zero-day, atau identitas yang telah dikompromikan. Inilah keunggulan UEBA. Sistem ini tidak perlu “mengetahui” ancaman terlebih dahulu. UEBA mendeteksi pola perilaku dan menerapkan penilaian risiko berdasarkan penyimpangan dari normalitas, seperti karyawan yang mengakses data sensitif pada pukul 2 dini hari dari perangkat yang tidak dikenal. Karena fokusnya pada pola dari waktu ke waktu, UEBA mampu menyaring noise, mengurangi false positives, dan membantu analis SOC memusatkan perhatian pada ancaman yang benar-benar nyata.   Mengapa Anda Membutuhkan Keduanya: Aturan Korelasi dan UEBA Lebih Baik Bersama UEBA tidak menggantikan aturan korelasi—justru memperkuatnya. Ketika digunakan bersama, keduanya menghadirkan keamanan yang lebih komprehensif. Aturan korelasi sangat baik untuk mendeteksi ancaman yang sudah dikenal dan langsung, seperti serangan brute force atau upaya akses tanpa izin—jenis ancaman paling umum yang dihadapi organisasi. Selain itu, aturan ini juga bermanfaat untuk kepatuhan dan penerapan kebijakan. UEBA mengisi celah dengan menangani area abu-abu tempat ancaman kompleks berkembang. Dengan menggabungkan keduanya, organisasi dapat: Mengurangi jumlah aturan korelasi yang digunakan. Meminimalkan kebutuhan untuk menyesuaikan aturan. Meningkatkan akurasi deteksi secara keseluruhan. Wawasan perilaku yang disediakan UEBA juga membantu memperbaiki aturan korelasi, menjadikannya lebih presisi dan efektif.   Bagaimana UEBA Memperkuat Aturan Korelasi Berikut adalah cara UEBA meningkatkan kinerja SIEM yang Anda miliki: Lebih Sedikit Aturan, Hasil Lebih Baik: Dengan UEBA yang mendeteksi anomali perilaku, Anda dapat mengurangi jumlah aturan korelasi yang diperlukan. Ini mengurangi beban pada sistem dan tim keamanan yang bertanggung jawab untuk penyetelan aturan. Akurasi yang Lebih Tajam: UEBA memberikan konteks tambahan, memungkinkan Anda menyempurnakan aturan korelasi untuk mengurangi false positive. Peringatan Kontekstual: UEBA menambahkan kedalaman pada peringatan, menunjukkan apakah suatu tindakan benar-benar anomali atau hanya penyimpangan yang tidak signifikan. Respons Insiden yang Lebih Cerdas: Aturan korelasi mendeteksi kejadian awal; UEBA memberikan konteks perilaku yang lebih luas, membantu analis bertindak lebih cepat dan lebih tepat. Memilih Vendor yang Tepat: Mengapa Integrasi Itu Penting Tidak semua vendor berhasil mencapai keseimbangan ini dengan baik. Beberapa vendor menambahkan UEBA pada SIEM tradisional hanya sebagai pemikiran tambahan, yang mengarah pada integrasi yang buruk dan pengalaman pengguna yang terputus-putus. Exabeam menonjol karena dukungan terbaiknya untuk aturan korelasi dan UEBA tingkat lanjut, menghadirkan solusi terintegrasi yang memaksimalkan deteksi ancaman dan meningkatkan produktivitas analis. Kesimpulan: Masa Depan Deteksi Ancaman Ada di Ujung Jari Anda Aturan korelasi saja tidak cukup lagi. Volume data terus berkembang pesat, dan lanskap ancaman semakin kompleks. UEBA yang didukung oleh pembelajaran mesin (ML) bukan lagi “sesuatu yang diinginkan”—itu sudah menjadi kebutuhan. Dengan menggabungkan yang terbaik dari kedua dunia—aturan untuk yang sudah diketahui, ML untuk yang belum diketahui—Anda mendapatkan sistem pertahanan yang proaktif, adaptif, dan siap menghadapi segala situasi. Exabeam memimpin perubahan ini, memberikan organisasi alat yang mereka butuhkan untuk mendeteksi, menyelidiki, dan merespons ancaman kritis. Baik SIEM Anda berada di tempat atau di cloud, UEBA yang didorong oleh ML dari Exabeam membantu SOC di seluruh dunia mengungkap kebenaran yang mungkin terlewatkan oleh SIEM mereka. Percayakan UEBA, SIEM, SOAR anda kepada Logrhythm Indonesia, hubungi kami kapanpun untuk update, POC, serta update knowledge terbaru terkait Cyber Security.