Security Operations Center Analyst

Course

Module 03
Kejadian Keamanan dan
Insiden Siber
Kerangka Materi
Modul ini akan membahas :

■ Urgensi pengelolaan catatan kejadian keamanan

(security event log).
■ Jenis kejadian keamanan & insiden siber.
■ Korelasi & analisis kejadian keamanan siber.
 Urgensi Pengelolaan
Catatan Kejadian Keamanan
(Security Event Log)
Terminologi Penting
■ Kejadian Keamanan (Security Event)
○ Kejadian keamanan yang dapat diamati pada suatu sistem atau jaringan.
○ Sebagai contoh, pengguna yang berhasil login ke aplikasi, pengguna yang mengirim email, perangkat
firewall yang memblokir suatu koneksi, dsb.
■ Insiden Siber (Cyber Incident)
○ Pelanggaran terhadap kebijakan atau standar keamanan siber yang ditetapkan organisasi.
■ Krisis/Bencana (Crisis/Disaster)
○ Kejadian keamanan siber yang menyebabkan kerugian signifikan, korban jiwa/cedera, atau kegagalan
infrastruktur siber yang dialami oleh masyarakat luas.
Latar Belakang
■ Mengumpulkan dan mengelola catatan kejadian keamanan (security
event log) dalam sistem membantu dalam mendeteksi,
menganalisis, atau memulihkan dari suatu serangan siber.
■ Mengapa ini penting?
○ Kelemahan dalam pencatatan dan analisis terhadap security
event log memungkinkan peretas menyembunyikan lokasi,
perangkat lunak berbahaya, dan aktivitas mereka pada
perangkat korban.
○ Bahkan jika korban mengetahui bahwa sistem mereka sudah
dibobol, tanpa security event log yang lengkap dan terjaga
integritasnya, korban tidak dapat mengetahui detail serangan
dan kronologi dari kejadian.
○ Tanpa pengaturan security event log yang baik, serangan siber
tidak akan dapat diketahui dan kerusakan yang terjadi tidak
dapat dipulihkan.
Security Event Log yang Efektif
■ Security event logging yang efektif akan sangat menghemat waktu dan uang jika suatu organisasi
mengalami insiden siber.
■ Security event log juga akan sangat membantu dalam pembelaan (atau penuntutan) saat kasus dibawa
ke ranah pengadilan.
■ Untuk itu, sangat direkomendasikan :
○ Menetapkan standar dan prosedur untuk penerapan security event log di organisasi.
○ Mengatur konfigurasi pada sistem untuk merekam kejadian-kejadian penting terkait keamanan dan
lakukan pemantauan secara berkelanjutan.
○ Melakukan tindak lanjut atas peringatan keamanan yang muncul secara tepat;
○ Menyediakan security event log untuk kebutuhan investigasi dalam format yang sesuai/dibutuhkan;
○ Menyimpan security event log sesuai dengan standar/prosedur retensi. Lakukan penyimpanan
dengan aman untuk kemungkinan analisis forensik di kemudian hari.
Pengelolaan Security Event Log
■ Catatan sistem untuk perangkat-perangkat penting harus :
○ dicatat secara lengkap dalam security event log;
○ disimpan secara terpusat;
○ dilindungi dari perubahan yang tidak sah; dan
○ dipantau serta dianalisis secara teratur.
■ Security event log membantu dalam identifikasi ancaman yang dapat menyebabkan insiden siber (dikenal
sebagai indicator of compromise/IOC), menjaga integritas informasi dan sistem penting, dan mendukung
penyelidikan forensik.
■ Organisasi sebaiknya mengadopsi solusi yang menyediakan informasi secara real-time tentang peristiwa
penting yang perlu diketahui/ditindak lanjuti.
■ Memastikan bahwa kejadian yang terkait keamanan siber dapat diidentifikasi lebih awal, dianalisis dan
ditindaklanjuti dengan lebih cepat dan efektif.
Pengelolaan Security Event Log
■ Pengelolaan security event log yang baik harus mencakup:
○ Tata Kelola security event log (kebijakan, prosedur, pembagian tugas
& tanggung jawab pengelolaan, pelaporan, dsb).
○ Identifikasi aplikasi bisnis dan komponen infrastruktur yang harus
mengaktifkan security event log , termasuk komponen sistem yang di-
outsourced atau di cloud.
○ Pengaturan konfigurasi perangkat lunak agar menghasilkan
security event yang tepat atau dibutuhkan.
○ Perbaikan konfigurasi (tuning) dan lakukan peninjauan rutin untuk
mengurangi jumlah false-positive event ke tingkat yang dapat
diterima.
Pengelolaan Security Event Log
■ Pengelolaan security event log yang baik harus mencakup (lanjutan):
○ Penyimpanan security event log (menggunakan perangkat lokal,
perangkat/server terpusat, SIEM, atau dengan penyimpanan yang
disediakan oleh penyedia layanan eksternal).
○ Pengolahan dan analisis dari security event log (termasuk
mekanisme normalisasi, agregasi dan korelasi dari log).
○ Sinkronisasi waktu (timestamp) menggunakan 1 sumber waktu
terpercaya.
○ Mekanisme proteksi terhadap security event log yang disimpan
(enkripsi, akses control, backup).
○ Persyaratan masa retensi atau periode rotasi log.
○ Aksi tindak lanjut untuk remediasi atas permasalahan yang
teridentifikasi, dan tanggap terhadap insiden siber secara responsive.
Manfaat Lain Security Event Log
■ Security event log juga dapat digunakan untuk tujuan
compliance dan pemantauan kinerja.
○ Pemantauan, efisiensi, kinerja;
○ Manajemen aset dan status perangkat.
Kendala & Tantangan
■ Ada banyak tantangan yang dihadapi organisasi dalam
pemantauan kejadian-kejadian keamanan di sistem dan
jaringan mereka, khususnya pemantauan terhadap adanya
indikasi ancaman/serangan siber.
○ Misalnya, organisasi sering kali mengumpulkan banyak
data terkait keamanan siber (termasuk security event
log), namun tidak memiliki sumber daya, keterampilan
teknis, atau prioritasi untuk menganalisis data
tersebut dengan baik.
○ Organisasi seringkali juga menaruh kepercayaan yang
berlebihan pada perangkat pemantauan yang dimiliki,
namun sebetulnya situasi tersebut hanya memberikan
rasa aman yang palsu.
Kendala & Tantangan
■ Di satu sisi, permasalahan lama terkait security logging juga tetap masih ada, diantaranya:
○ Sulitnya menentukan prioritas, urgensi, dan keefektifan dari mengumpulkan data log dari berbagai
sumber;
○ Tugas mengelola security log yang sangat menghabiskan sumber daya, misalnya:
• Menentukan log yang relevan, memastikan log dikonfigurasi dengan benar, dan rentang waktu
yang cukup untuk menunjang proses investigasi;
• Prioritasi, penyimpanan, korelasi, analisis dan proteksi terhadap log yang disimpan.
○ Kegagalan dalam menentukan & tindak lanjut thd informasi peringatan (alert) dengan efektif (misal,
menangani false positive, analisis situasi, dan penanganan masalah/insiden), karena tidak yakin
dengan log mana yang harus ditelaah.
○ Kesulitan dalam menentukan perangkat atau orang yang tepat untuk membantu dengan cepat,
efektif, dan dengan biaya yang sesuai.

We are not just looking for a needle in a haystack;

we have to find the right haystack(s).
Jenis Kejadian Keamanan &
Insiden Siber
Jenis Security Event Log
■ Jenis event log yang membantu untuk pemantauan
keamanan siber:
○ System log
○ Networking log
○ Technical log
○ Log dari perangkat keamanan sistem/jaringan
■ Log tersebut membantu dalam mendeteksi potensi insiden
siber dan/atau proses investigasinya.
Jenis Security Event Log
Konfigurasi Security Event Log
■ Security event log sebaiknya dikonfigurasi sesuai ketentuan sbb:
○ Mengaktifkan event logging menggunakan format standar (missal, Syslog, MITRE Common Event
Expression, dsb);
○ Merekam kejadian keamanan sesuai kebutuhan yang ditetapkan organisasi;
○ Memasukkan atribut-atribut kejadian yang relevan (misal, alamat IP, username, waktu & tanggal, jenis
protokol komunikasi, port jaringan, nama perangkat, dsb);
○ Menggunakan sumber waktu yang konsisten dan terpercaya (misal, Network Time Protocol/NTP).
○ Selalu dalam kondisi aktif/menyala sepanjang waktu;
○ Dilindungi dari akses yang tidak sah, dan dari kemungkinan modifikasi atau penimpaan data
(overwrite) secara tidak disengaja atau disengaja (misal, menggunakan media yang dikonfigurasi
write-only atau perangkat server log khusus);
○ Dikonfigurasi agar saat log mencapai ukuran maksimum (penuh), sistem tidak berhenti karena
kekurangan ruang penyimpanan, dan logging dapat berlanjut tanpa gangguan.
Pengelolaan Log Secara Terpusat
■ Organisasi sebaiknya mengelola dan menggabungkan informasi penting yg berkaitan dg kejadian
keamanan siber dari berbagai sumber security event log ke dalam satu repositori terpusat, misalnya
perangkat Security Information and Event Management (SIEM).
■ Misalnya, indikasi terjadinya insiden dapat disimpulkan berdasarkan informasi log dari beberapa
sumber/perangkat dengan berbagai jenis data:
○ Log dari perangkat firewall memiliki informasi alamat IP sumber/asal serangan, dan log dari aplikasi
memiliki informasi username yang berasosiasi dengan alamat IP tersebut;
○ Sensor para perangkat IDS mungkin dapat mendeteksi adanya suatu serengan yang ditujukan ke
suatu perangkat komputer (host), namun belum dapat diketahui apakah upaya serangan tersebut
berhasil atau tidak.
■ Saat seorang analis harus memeriksa security event log dari suatu perangkat yang sedang ia lakukan
investigasi, mengkorelasikan suatu kejadian ke berbagai indikator kejadian lainnya (dari sumber yg
berbeda) akan sangat membantu untuk memvalidasi apakah betul suatu insiden sedang terjadi.
Security Information & Event Management
■ Teknologi Security Information & Event Management (SIEM)
menggabungkan antara SIM (Security Information Management)
dan SEM (Security Event Manager).
■ SIEM menyediakan informasi hasil analisis berdasarkan peringatan
keamanan (security alert) secara real-time yang dihasilkan dari
berbagai aplikasi, aplikasi jaringan, dan komponen sistem lainnya.
■ SIEM umumnya tersedia dalam bentuk perangkat lunak, appliance,
atau dalam bentuk managed service.
■ Digunakan juga untuk tujuan perekaman aktivitas sistem/transaksi
dan menyusun laporan untuk tujuan pemenuhan kepatuhan
(compliance) terhadap suatu standar.
■ Beberapa perangkat SIEM modern menyediakan fitur tambahan,
misalnya pengelolaan ‘big data’, penyediaan dasbor untuk analisis,
pemantauan, dsb.
Prosedur & Alat Bantu
■ Perangkat lunak analitik seperti SIEM sangat membantu dalam hal pemantauan dan pemeriksaan
kejadian keamanan siber berdasarkan log yang dianalisis oleh perangkat tsb.
■ Walaupun SIEM menyediakan fitur analisis yang terotomatisasi, kompetensi, keterampilan dan instusi dari
seorang analis tetap memiliki peran sangat penting dalam mem-validasi dan menginvestigasi suatu
serangan siber.
■ Beberapa hal penting agar security event log menghasilkan informasi yang komprehensif:

○ Tambah ukuran maksimum event log. ○ Aktifkan pemberitahuan perubahan konfigurasi

○ Pastikan seluruh kejadian account log on ke
aplikasi tercatat.
○ Pastikan seluruh kejadian account log on dan log
off ke perangkat workstation tercatat.
○ Periksa setiap perubahan user account dan group.
○ Pastikan seluruh eksekusi program baik oleh
sistem maupun oleh pengguna tercatat.
○ Pastikan audit trail setiap perubahan object pada
Actove Directory tercatat.
keamanan penting pada sistem.
○ Catat kejadian-kejadian keamanan penting.
○ Catat kejadian eksekusi skrip Powershell.
○ Tingkatkan visibilitas system menggunakan
perangkat/aplikasi Sysmon.
○ Kelola log sevara terpusat menggunakan
centralised log management tool.
 Korelasi & Analisis
Kejadian Keamanan Siber
Prioritasi Penggunaan Event Log
■ Tantangan dalam pengelolaan event log umumnya terkait dengan:
○ Besarnya jumlah event log yang dihasilkan oleh berbagai aplikasi, perangkat jaringan, dan sistem
lainnya;
○ Menentukan event log yang relevan untuk pemantauan & investigasi keamanan siber;
○ Biaya dan sumber daya yang diperlukan untuk mengelola event log dengan efektif.
■ Untuk itu, organisasi harus memahami jenis event log yang tersedia dan memprioritaskan event log
mana yang perlu dikumpulkan, untuk selanjutnya dipantau dan dianalisis.
■ Terbatasnya sumber daya (biaya dan SDM yang terampil) tidak memungkinkan untuk memantau seluruh
event log yang dihasilkan oleh perangkat di organisasi.
■ Penting bagi organisasi untuk fokus pada data dan layanan yang penting bagi bisnis yang dijalankan
organisasi.
Prioritasi Penggunaan Event Log
■ Berikut merupakan contoh pemanfaatan event log berdasarkan survey oleh CREST* yang ditujukan pada
praktisi keamanan siber.

Keterangan:
Semakin tinggi nilai persentase dari suatu event log, semakin tinggi nilai pemanfataannya dalam konteks keamanan siber.
Prioritasi Penggunaan Event Log

Keterangan:
Semakin tinggi nilai persentase dari suatu event log, semakin tinggi nilai pemanfataannya dalam konteks keamanan siber.
Prioritasi Penggunaan Event Log

Keterangan:
Semakin tinggi nilai persentase dari suatu event log, semakin tinggi nilai pemanfataannya dalam konteks keamanan siber.
Prioritasi Penggunaan Event Log
■ Dalam prakteknya, tujuan penggunaan, pemanfaatan,
sampai dengan biaya yang dikeluarkan untuk pengelolaan
event log berbeda-beda untuk setiap organisasi, misalnya
dilihat dari sektor industri, karakteristik bisnis, dan
kematangan organisasi tsb dalam konteks keamanan siber.
■ Oleh karena itu, organisasi harus menentukan bagaimana
pemanfaatan dari event log yang mereka miliki secara
kasus per kasus.
Tahapan Dalam Identifikasi Event Log Prioritas
■ Terdapat beberapa tahapan untuk mengidentifikasi event log berdasarkan tujuan spesifik yang ditetapkan
organisasi, diantaranya:
○ Tentukan tujuan bisnis (business objective) dari pengelolaan event log, berikut dengan risiko yang
dihadapi dalam mencapai tujuan bisnis tersebut;
○ Prioritaskan event log yang diperlukan berdasarkan Use Case, dengan memperhatikan tangkat
kematangan organisasi dalam hal pemantauan keamanan siber dan pengelolaan event log;
○ Mulai dari cakupan Use Case yang sedikit atau sederhana, lalu kembangkan sesuai kebutuhan dan
kematangan sumber daya di organisasi;
○ Buat kategorisasi sumber event log berdasarkan hal/masalah apa yang ingin dideteksi;
○ Buat panduan teknis untuk membantu pencapaian tujuan bisnis (misal, petunjuk teknis untuk
membantu dalam mendeteksi infeksi malware).
Contoh Identifikasi Event Log Prioritas
■ Contoh Use Case dalam mendeteksi “Mendeteksi penggunaan akun dengan cara yang tidak sah, tidak
semestinya, atau aktivitas yang mencurigakan”.

Komponen Deskripsi

Business Objective

Use Case Mendeteksi penggunaan akun dengan cara yang tidak sah, tidak semestinya,
atau aktivitas yang mencurigakan.

Scenario § 1 akun yang sama digunakan di 2 perangkat berbeda.

§ 2 akun yang berbeda digunakan dalam 1 perangkat yang sama.

Main Log(s) Aplikasi bisnis.

Logs Used § Authentication (Active Directory, aplikasi)

(sources of intelligence) § DHCP
§ VPN
§ Pemeriksaan langsung di tempat.
Contoh Identifikasi Event Log Prioritas
■ Contoh Use Case dalam mendeteksi “Penggunaan akun dengan cara yang tidak sah atau tidak
semestinya”.

Komponen Deskripsi

Business Objective

Use Case Penggunaan akun dengan cara yang tidak sah, tidak semestinya, atau
aktivitas yang mencurigakan.

Scenario § 1 akun yang sama digunakan di 2 perangkat berbeda.

§ 2 akun yang berbeda digunakan dalam 1 perangkat yang sama.

Main Log(s) Aplikasi bisnis.

Logs Used § Authentication (Active Directory, aplikasi)

(sources of intelligence) § DHCP
§ VPN
§ Pemeriksaan langsung di tempat.
Contoh Identifikasi Event Log Prioritas
■ Pendekatan Use Case dapat
dikembangkan dengan model
sebagai berikut.
○ Organisasi dapat menentukan
beberapa tujuan bisnis
(Business Objective) yang
menjadi prioritas;
○ Beberapa Use Case dapat
dibuat untuk memenuhi 1
tujuan bisnis;
○ Satu atau beberapa Scenario
dapat dibuat untuk
menjabarkan 1 Use Case.
Analisis Event Log & Peringatan Keamanan (Alert)
■ Security event log harus dianalisis secara periodik oleh analis (misal, dengan bantuan perangkat SIEM
atau yang memiliki fungsi serupa) dengan beberapa tujuan utama:
○ Pengolahan dan pemrosesan security event log (normalisasi, agregasi, dan korelasi seluruh sumber
event log);
○ Identifikasi dan penentuan kejadian-kejadian keamanan penting berdasarkan prioritas atau Use Case
yang ditentukan (misal, aktivitas yang tidak normal, infeksi malware);
○ Kewaspadaan terhadap situasi keamanan siber (situational awareness);
○ Tanggap terhadap kejadian atau insiden keamanan siber.