Log ada, tetapi tidak ada yang membacanya
Ketika insiden terjadi, tim menyadari mereka tidak bisa merangkai apa yang terjadi. Forensik setelah kejadian tidak akan membuahkan hasil jika log tidak pernah dikumpulkan di satu tempat.
Red team menemukan celahnya. Blue team mengawasi siapa pun yang mencoba memanfaatkannya. Lingkungan Anda mendapatkan SIEM dengan deteksi anomali berbasis machine learning, triase alert bertenaga LLM yang merangkum insiden dalam bahasa yang mudah dipahami, dan aturan deteksi yang disetel sesuai cara Anda benar-benar beroperasi. Lalu tim Anda dilatih untuk bertindak atas alert yang penting alih-alih tenggelam dalam false positive.
Tooling open-source dan komersial yang bisa terus dijalankan tim Anda sendiri.
Rata-rata, lebih dari 200 hari berlalu antara terjadinya pelanggaran dan saat seseorang menyadarinya. Pada saat itu penyerang sudah bergerak melintasi jaringan Anda, mengambil data, dan menyiapkan jalan untuk kembali masuk. Blue team ada untuk mempersempit jeda itu dari berbulan-bulan menjadi beberapa jam.
Ketika insiden terjadi, tim menyadari mereka tidak bisa merangkai apa yang terjadi. Forensik setelah kejadian tidak akan membuahkan hasil jika log tidak pernah dikumpulkan di satu tempat.
Ada 300 alert per hari dan 290 di antaranya adalah false positive. Jadi tim berhenti membacanya. Sepuluh alert yang penting tidak pernah diselidiki.
Ada kebijakan keamanan di suatu tempat. Ketika insiden nyata terjadi, tidak ada yang mengikutinya, karena ia tidak sesuai dengan situasi di depan mata dan mereka tidak pernah melatihnya.
Log aplikasi berada di CloudWatch, log jaringan berada di firewall, log host berada di server. Menelusuri satu peristiwa lateral movement berarti mengklik tiga antarmuka berbeda secara manual. Penyerang justru mengandalkan hal itu.
Each step produces something concrete, comes with a written hand-off, and has to pass a checkpoint before we move on to the next one.
Kami merancang bagaimana log Anda dikumpulkan: apa yang harus ditangkap, dari mana asalnya, berapa lama disimpan, dan berapa biayanya. Pembangunannya menggunakan collector Fluentd atau Fluent Bit, standar structured logging, dan pipeline yang tahan saat trafik melonjak alih-alih diam-diam menjatuhkan event.
Kami men-deploy dan mengonfigurasi Elastic SIEM, Wazuh, atau yang setara secara cloud-native. Ia dilengkapi dashboard, saved search, dan aturan korelasi yang disetel untuk lingkungan Anda, bukan template generik yang disalin seseorang dari vendor.
Kami menulis aturan untuk attack surface yang benar-benar Anda miliki. Itu mencakup pola autentikasi gagal, tanda-tanda lateral movement, eksfiltrasi data, dan upaya privilege escalation. Setiap aturan disetel agar tidak membanjiri tim Anda dengan false positive.
Kami menghubungkan feed threat intelligence open-source atau komersial untuk IOC matching, sehingga IP, domain, dan file hash jahat yang sudah diketahui ditandai secara otomatis saat muncul di log Anda.
Kami menulis playbook deteksi untuk 10 jenis alert teratas Anda, mencakup apa yang harus diperiksa, apa yang harus dieskalasi, dan apa yang harus dilakukan selanjutnya. Sebelum kami menyerahkannya, kami menjalankan tabletop exercise agar Anda tahu playbook itu memang andal.
These are outcomes you can measure, not a slide deck. Here's the change you should expect to see.
Log aplikasi, jaringan, dan host dikorelasikan di dalam satu SIEM. Ketika sesuatu terjadi, gambaran keseluruhan langsung ada di sana alih-alih tersebar di tiga tool.
Aturan deteksi yang disetel untuk lingkungan Anda menjaga volume alert tetap rendah dan tingkat keyakinan tinggi, sehingga tim Anda bisa membaca setiap alert yang masuk.
Tim Anda menjalankan tabletop exercise sebelum engagement berakhir, sehingga responsnya sudah dilatih jauh sebelum insiden nyata tiba.
Retensi log dan aturan korelasi disiapkan sehingga setelah insiden Anda bisa merekonstruksi persis apa yang terjadi dan mendukungnya dengan bukti.
Kami melakukan keduanya. Dalam engagement standar kami men-deploy tooling, menyetel aturan deteksi, dan melatih tim Anda untuk menjalankannya. Jika Anda tidak memiliki tim internal untuk mengoperasikan SOC, kami menawarkan retainer managed detection and response dengan SLA eskalasi yang disepakati.
Kami menyetelnya terhadap sebuah baseline. Sebelum menulis aturan deteksi apa pun, kami meluangkan waktu mempelajari seperti apa kondisi normal di lingkungan Anda. Aturan berjalan dalam mode observasi terlebih dahulu, dengan logika pengecualian yang menekan noise, dan baru mulai memunculkan alert setelah rasio sinyal terhadap noise cukup baik.
Kami menggunakan feed open-source seperti AlienVault OTX, Emerging Threats, dan abuse.ch sebagai baseline, dan menambahkan feed komersial untuk klien dengan program yang lebih matang. Pilihannya bergantung pada threat model Anda, karena perusahaan fintech menghadapi kumpulan lawan yang sangat berbeda dari startup e-commerce.
Kami biasanya men-deploy Elastic SIEM atau Wazuh, atau bekerja dengan opsi cloud-native seperti Microsoft Sentinel jika itu lebih cocok dengan stack Anda. Pilihannya bergantung pada logging Anda yang sudah ada, anggaran Anda, dan apakah tim Anda perlu terus menjalankannya secara mandiri setelahnya. Kami men-deploy sesuatu yang benar-benar bisa dioperasikan tim Anda, bukan tool yang akhirnya menganggur.
Kami memetakan aturan ke attack surface yang benar-benar Anda miliki dan ke teknik MITRE ATT&CK, mencakup pola autentikasi gagal, lateral movement, eksfiltrasi data, dan privilege escalation. Setiap aturan dibangun terhadap baseline aktivitas normal Anda agar ia berbunyi pada anomali yang nyata. Kami mendokumentasikan apa yang dideteksi setiap aturan dan apa yang harus dilakukan saat ia terpicu.
Kami mempelajari seperti apa kondisi normal di lingkungan Anda terlebih dahulu, lalu menjalankan aturan baru dalam mode observasi dengan logika pengecualian yang menekan noise yang sudah diketahui aman. Aturan baru mulai memunculkan alert setelah rasio sinyal terhadap noise cukup baik, dan triase berbantuan LLM merangkum serta memprioritaskan sisanya. Targetnya kurang dari sepuluh false positive per hari agar setiap alert layak dibaca.
Dalam engagement standar kami menyiapkan tooling dan melatih tim Anda untuk menjalankan pemantauannya sendiri. Jika Anda tidak punya staf untuk menanganinya, kami menawarkan retainer managed detection and response dengan SLA eskalasi yang disepakati dan cakupan di luar jam kerja. Kami akan membantu Anda memutuskan model mana yang cocok dengan ukuran tim dan profil risiko Anda.
Idealnya logging terpusat dari aplikasi, jaringan, dan host Anda, atau setidaknya akses ke sumber-sumber log itu agar kami bisa membangun pipeline-nya. Kami juga perlu memahami lingkungan Anda: aset, peran pengguna, dan seperti apa trafik normal terlihat. Jika logging masih terpecah-pecah atau tidak ada, membangun fondasi itu menjadi bagian pertama dari engagement.
Ya. Sebelum kami menyerahkannya, kami menjalankan tabletop exercise yang memandu tim Anda melalui skenario realistis menggunakan playbook deteksi yang kami tulis. Ia menguji apakah runbook memang andal dan apakah orang-orang tahu apa yang harus diperiksa, dieskalasi, dan dilakukan selanjutnya. Responsnya dilatih jauh sebelum insiden nyata tiba.
SIEM, aturan deteksi, dan retensi log yang kami siapkan persis seperti yang dibutuhkan seorang incident responder untuk merekonstruksi sebuah serangan, sehingga pekerjaan blue team langsung mempercepat forensik. Playbook deteksi mendefinisikan kapan sebuah alert menjadi insiden dan kepada siapa harus dieskalasi. Jika Anda juga memegang retainer incident response dengan kami, tim yang merespons sudah mengenal lingkungan Anda.
Dealing with an active incident? Message us on WhatsApp now. For anything else, whether that's a security assessment, DevSecOps work, or a blue team setup, the form below is the place to start. We reply within one working day with a straight read on scope and cost.
Office
Surabaya, Indonesia
Harga mulai
Mulai dari Rp 72.000.000
Proyek umumnya Rp 72–450 juta