Salah satu tujuan dari SOC harus mengotomatisasi sebanyak mungkin tugas untuk merampingkan prosesnya. Jenis-jenis proses yang seharusnya otomatis biasanya adalah proses bersifat berulang. Jika SOC memiliki beberapa proses otomatis, para analis keamanan melakukan lebih banyak pekerjaan manual dan menghabiskan sebagian besar waktu mereka mengejar kegiatan log. Otomatisasi memungkinkan analis SOC untuk beroperasi lebih efisien dengan fokus diarahkan ke tugas yang lebih kompleks yang membutuhkan pemikiran kritis manusia.
Tidak ada satu pendekatan yang cocok untuk semua otomatisasi dalam sebuah SOC. Setiap SOC memiliki masalah yang unik. Menurut survei 2015 Ponemon Institute berjudul "The Cost of Malware Containment," organisasi menghabiskan $ 1,27 juta setiap tahun untuk menanggapi peringatan malware yang salah, yang diterjemahkan menjadi sekitar 395 jam yang terbuang setiap minggu oleh anggota staf keamanan yang meneliti dan menyelidiki peristiwa positif palsu.
Dengan tantangan-tantangan ini, berikut adalah beberapa tugas sederhana yang dapat mengotomatiskan SOC:
- Ticket Generation: Memiliki alat SIEM atau alat lain secara otomatis menghasilkan tiket untuk analis untuk menyelidiki.
- Penanganan peringatan positif palsu: Menerapkan kebijakan dan korelasi peristiwa untuk mencegah analis membuang-buang waktu menyelidiki peringatan positif palsu. Sebagai contoh, kebijakan dapat diimplementasikan yang menghindari intervensi analis jika tanda tangan yang dipecat telah dilihat sebelumnya dalam konteks tertentu. Mengorelasikan peristiwa IDS ke database CVE dapat menentukan apakah target (host) rentan terhadap serangan tertentu. SOC mungkin memiliki skrip Perl yang secara otomatis mengambil informasi acara dan host dari satu database dan membandingkannya dengan database CVE. Jika skrip tidak menghasilkan peringatan, ada satu tiket yang lebih sedikit untuk diproses oleh analis.
- Pembuatan laporan: Memberikan ringkasan mingguan dan bulanan tentang jumlah insiden yang diselidiki dan ditutup, ditambah waktu untuk mengurangi. Ini hanyalah beberapa laporan yang harus dibenarkan oleh manajemen senior untuk membenarkan biaya yang terkait dengan SOC.
Daftar ini tidak berarti komprehensif. Setiap organisasi dan lingkungan akan menentukan proses mana yang dapat diotomatisasikan oleh SOC dan proses mana yang tidak dapat diotomatisasi. Tugas otomasi yang lebih kompleks akan menjadi SOC yang lebih spesifik.
Deteksi anomali dapat menjadi proses yang lebih kompleks untuk mendeteksi serangan daripada tanda peringatan sederhana. Beberapa alat memiliki kemampuan untuk menghasilkan tanda anomali yang didasarkan pada volume atau pola fitur. Misalnya, Bro dapat mendeteksi anomali dengan menggunakan profil yang menentukan karakteristik yang perlu diketahui terkait dengan server tertentu. Jika server menyimpang dari baseline atau profil yang ditetapkan, alarm akan dihasilkan.
Peringatan anomali berbasis volume dapat berasal dari berikut ini:
- Analisis statistik
- Analisis frekuensi
- Peramalan seri waktu
Peringatan anomali berbasis fitur bisa jauh lebih intensif dan memakan waktu untuk mengatur dan menerapkan. Jika server diatur untuk hanya mendukung trafik HTTP dan HTTPS, tetapi ia mulai menerima atau menghasilkan lalu lintas pada port 25, peringatan yang didasarkan pada anomali fitur harus dibuat. Tantangan datang untuk mengetahui kapan peristiwa semacam itu terjadi, terutama ketika SOC memproses data terabyte per hari. Beberapa SOC memenuhi tantangan ini dengan membangun solusi penyimpanan data Hadoop yang disesuaikan. SOC kemudian akan melakukan mining database penyimpanan data untuk menemukan anomali.
No comments:
Post a Comment