Daftar Periksa untuk Pengaturan SIEM - Keamanan Titik Akhir
Mengintegrasikan SIEM dengan alat keamanan endpoint Hal ini penting untuk menciptakan sistem keamanan yang terpusat, efisien, dan responsif. Panduan ini membagi prosesnya menjadi enam langkah, membantu Anda menyederhanakan pengaturan, mengurangi kelelahan akibat banyaknya peringatan, dan meningkatkan deteksi ancaman. Berikut ringkasan singkat dari langkah-langkah yang dibahas:
- Tetapkan Tujuan: Tetapkan tujuan yang jelas untuk integrasi, dengan fokus pada kebutuhan bisnis, keamanan, dan operasional. Hindari pengumpulan data yang tidak perlu.
- Alat Penilaian: Inventarisasi perangkat keamanan yang Anda miliki dan pastikan kompatibilitasnya dengan sistem SIEM Anda.
- Konfigurasi Pengambilan Data: Hubungkan sumber data penting seperti log EDR, sistem otentikasi, dan log keamanan jaringan. Standarisasi format log dan kebijakan retensi.
- Siapkan Deteksi Ancaman: Buat aturan korelasi dan integrasikan umpan intelijen ancaman untuk mengidentifikasi dan menanggapi ancaman secara efektif.
- Membangun Tata Kelola: Terapkan kontrol akses berbasis peran (RBAC) dan definisikan alur kerja respons insiden untuk penanganan ancaman terstruktur.
- Validasi dan Optimalkan: Uji akurasi deteksi, pantau metrik kinerja, dan perbaiki pengaturan Anda secara berkala untuk memastikan efisiensi.
Tujuannya adalah untuk mengubah data keamanan yang tersebar menjadi wawasan yang dapat ditindaklanjuti, memungkinkan respons yang lebih cepat terhadap ancaman sambil tetap menjaga kepatuhan. Baik Anda bisnis kecil maupun perusahaan besar, mengikuti langkah-langkah ini akan membantu Anda membangun operasi keamanan yang andal dan terukur.
Proses Integrasi SIEM-Keamanan Endpoint 6 Langkah
Mengonfigurasi Kaspersky Security Center untuk Integrasi SIEM | Tutorial Langkah demi Langkah
Langkah 1: Menentukan Tujuan Integrasi dan Kasus Penggunaan
Sebelum menghubungkan sistem, luangkan waktu untuk menentukan tujuan integrasi Anda. Terburu-buru melakukan implementasi tanpa tujuan yang jelas dapat menyebabkan pemborosan sumber daya dan sistem yang tidak sesuai dengan kebutuhan Anda. Direktorat Sinyal Australia memperingatkan terhadap pendekatan ini:
""Lembaga-lembaga pembuat kebijakan tidak menganjurkan penebangan hanya demi penebangan.""
Tujuan Anda harus menyeimbangkan kebutuhan bisnis, prioritas keamanan, dan tuntutan operasional. Mengumpulkan data tanpa tujuan tidak akan membantu – fokuslah pada hal yang benar-benar penting. Mulailah dengan mengelompokkan tujuan Anda ke dalam tiga kategori: bisnis, keamanan, dan operasional.
Mengidentifikasi Tujuan Bisnis dan Keamanan
Bagilah tujuan Anda ke dalam kategori yang mudah dikelola. Untuk tujuan bisnis, pikirkan tentang mengurangi biaya terkait insiden, memastikan kepatuhan terhadap peraturan seperti HIPAA atau Essential Eight, dan meningkatkan produktivitas staf. Tujuan keamanan mungkin termasuk mendeteksi ancaman "Living off the Land" (LOTL), mengotomatiskan respons terhadap insiden, dan mengkorelasikan data dari berbagai sumber. Tujuan operasional dapat berfokus pada mengurangi kelelahan akibat peringatan, memusatkan dasbor, atau menyederhanakan analisis forensik.
Bersikap realistis tentang sumber daya Anda. Tetapkan Pemilik Sistem untuk mengawasi perubahan platform dan tugas integrasi. Selain itu, pertimbangkan skala organisasi Anda saat memperkirakan volume penyerapan log. Misalnya, organisasi berukuran sedang (400–2.000 karyawan) mungkin menghasilkan sekitar 600 GB data setiap hari, sementara organisasi yang lebih besar (lebih dari 5.000 karyawan) dapat menghasilkan hingga 2,5 TB per hari.
Kasus Penggunaan Kunci Dokumen
Setelah Anda menetapkan tujuan Anda, ubah tujuan tersebut menjadi kasus penggunaan spesifik dan dapat ditindaklanjuti yang sesuai dengan lingkungan Anda. Hindari skenario umum – skenario tersebut tidak akan membahas aspek unik dari pengaturan TI, profil risiko, atau lanskap ancaman Anda. Contoh kasus penggunaan yang disesuaikan meliputi mendeteksi ancaman dari dalam, menganalisis malware, menghasilkan laporan kepatuhan, atau mengidentifikasi taktik LOTL. Untuk memastikan cakupan ancaman yang komprehensif, petakan setiap kasus penggunaan ke kerangka kerja MITRE ATT&CK.
Mulailah dengan Bukti Konsep (POC) Menargetkan area risiko kritis untuk menguji efektivitas integrasi sebelum meluncurkannya sepenuhnya. Mendokumentasikan tujuan, volume, dan nilai analitis dari setiap sumber data. Menentukan tujuan spesifik seperti pelaporan kepatuhan, respons insiden, atau deteksi ancaman untuk memastikan tim Anda tetap fokus. Pendekatan ini membantu menghindari kelebihan beban sistem dan memprioritaskan umpan data bernilai tinggi, seperti Endpoint Detection and Response (EDR) dan log Active Directory.
Langkah 2: Menilai dan Mempersiapkan Tumpukan Teknologi Anda
Setelah menetapkan tujuan Anda, langkah selanjutnya adalah meninjau dengan saksama tumpukan teknologi Anda. Inventarisasi menyeluruh terhadap perangkat Anda dan pemeriksaan kompatibilitas sangat penting untuk memastikan sistem SIEM (Security Information and Event Management) Anda terintegrasi secara efektif. Melewatkan langkah ini dapat menyebabkan kegagalan integrasi, pemborosan sumber daya, dan tim yang frustrasi. Proses ini meletakkan dasar untuk memastikan SIEM Anda bekerja dengan lancar dengan sistem yang ada.
Inventarisasi Alat dan Sistem yang Ada
Mulailah dengan membuat katalog semua alat keamanan, perangkat endpoint, dan sistem yang akan memasukkan data ke SIEM Anda. Kelompokkan perangkat endpoint Anda berdasarkan sistem operasi – Windows, macOS, dan Linux – dan dokumentasikan konektor atau agen spesifik yang dibutuhkan. Atur alat-alat Anda berdasarkan fungsinya, misalnya:
- Deteksi dan Respons Titik Akhir (EDR)
- Perangkat lunak antivirus
- Keamanan aplikasi cloud
- Firewall
- Sistem deteksi intrusi
Masing-masing alat ini terhubung ke sumber peristiwa SIEM yang berbeda, memengaruhi cara data dikumpulkan dan dinormalisasi.
Pastikan untuk mencatat detail teknis seperti alamat IP, versi sistem operasi, dan GUID. Ini sangat penting untuk investigasi insiden. Jika Anda memiliki sistem lama, catat apakah sistem tersebut memerlukan middleware atau penerusan syslog untuk kompatibilitas. Untuk jaringan yang terisolasi (air-gapped networks), rencanakan solusi gateway untuk menjembatani kesenjangan tersebut.
Evaluasi Kompatibilitas SIEM
Setelah inventarisasi Anda lengkap, langkah selanjutnya adalah memverifikasi apakah SIEM Anda dapat menyerap data dari semua sumber tersebut. Mulailah dengan memeriksa marketplace SIEM Anda untuk integrasi bawaan, yang sering disebut sebagai "Add-ons", "SmartConnectors", atau "Device Support Modules (DSM)"."
Sebagai contoh, Rapid7 menawarkan integrasi terstruktur untuk SentinelOne EDR, memungkinkan pengumpulan data melalui API atau Syslog. Demikian pula, Microsoft menyediakan "Splunk Add-on for Microsoft Security", yang mengintegrasikan insiden dari Defender for Endpoint dan Defender for Identity ke dalam Splunk menggunakan API keamanan Microsoft Graph.
Pilih model integrasi yang paling sesuai dengan pengaturan Anda. Misalnya:
- Menggunakan API REST untuk pemberitahuan.
- Pilih untuk API streaming seperti Azure Event Hubs untuk menangani volume data yang besar.
Pastikan untuk mengkonfirmasi persyaratan otentikasi, seperti OAuth 2.0 melalui Microsoft Entra ID atau token API khusus. Saat menyiapkan koneksi API, selalu buat "Pengguna Layanan" khusus di konsol manajemen endpoint Anda. Ini menghindari gangguan jika seorang admin meninggalkan organisasi Anda.
Sebelum mempelajari aturan korelasi, uji koneksi Anda. Sebagian besar SIEM memiliki fitur untuk memvalidasi penyerapan log mentah. Misalnya, Cisco XDR menyertakan kartu dasbor "Status Penyerapan Deteksi" untuk memverifikasi bahwa log dari endpoint macOS, Windows, dan Linux diproses dengan benar. Pastikan log endpoint Anda dipetakan ke skema standar SIEM Anda, seperti Common Information Model (CIM) atau Common Event Framework (CEF), untuk menyederhanakan pencarian dan pelaporan.
| Metode Konsumsi | Terbaik Untuk | Persyaratan |
|---|---|---|
| Koleksi API | Alat berbasis cloud (misalnya, SentinelOne) | Kunci API, Token Rahasia, Konektivitas Internet |
| Penerusan Syslog | Perangkat keras jaringan (misalnya, firewall) | Port server Syslog atau listener SIEM |
| API Streaming | Data perusahaan bervolume tinggi | Akun penyimpanan Azure/AWS, pengaturan streaming |
| Berbasis agen | Server dan workstation | Instalasi konektor atau agen lokal |
Jika SIEM Anda tidak memiliki integrasi bawaan untuk alat-alat tertentu, pertimbangkan metode alternatif seperti Syslog, agregator log, atau metode "Tail File" untuk sistem on-premise. Beberapa layanan endpoint-to-SIEM menawarkan buffer untuk log yang belum terkirim – hingga tujuh hari atau 80 GB per pelanggan – memastikan telemetri penting tidak hilang selama masalah konektivitas. Jaring pengaman ini memberi Anda waktu untuk memperbaiki masalah tanpa kehilangan data keamanan penting.
Langkah 3: Konfigurasi Pengambilan dan Normalisasi Data
Setelah memastikan kompatibilitas, langkah selanjutnya adalah menghubungkan sumber data yang Anda pilih dan menyiapkan kebijakan normalisasi. Penting juga untuk menentukan persyaratan teknis untuk setiap sumber data guna memastikan integrasi yang lancar.
Hubungkan Sumber Data Utama
Mulailah dengan berfokus pada sumber data prioritas tinggi. Awali dengan Log Deteksi dan Respons Titik Akhir (EDR), yang menangkap peristiwa keamanan penting seperti pembuatan proses, deteksi antivirus, koneksi jaringan, pemuatan DLL, dan perubahan file. Kemudian, integrasikan milik Anda. sistem identitas dan otentikasi – Pengontrol Domain Active Directory, Entra ID (sebelumnya Azure AD), Otentikasi Multi-Faktor (MFA), dan Single Sign-On (SSO). Sistem-sistem ini sangat penting untuk memantau aktivitas kredensial dan mendeteksi upaya akses yang tidak sah.
Untuk menjaga visibilitas yang komprehensif, kumpulkan log dari semua Pengontrol Domain. Untuk sistem operasi, prioritaskan peristiwa dari Keamanan Windows, Sistem, PowerShell, dan Sysmon, serta log detail dari host Linux. Log keamanan jaringan Dari firewall, VPN, proxy web, dan Sistem Deteksi/Pencegahan Intrusi (IDS/IPS) sama pentingnya, karena hal tersebut mengungkapkan bagaimana ancaman bergerak di jaringan Anda. Jangan lupa log infrastruktur cloud – Menghubungkan AWS CloudTrail, log audit Azure, Log Audit Terpadu Microsoft 365, dan log khusus aplikasi dari sistem email dan server web.
Untuk lingkungan on-premises atau berbasis Linux, gunakan alat seperti Azure Monitor Agent untuk mengalirkan log secara real-time menggunakan Syslog atau Common Event Format (CEF). Perlu diingat bahwa pemasukan data ke dalam sistem berbasis cloud seperti Microsoft Sentinel biasanya membutuhkan waktu 90 hingga 120 menit, jadi rencanakan jadwal pengujian dan pemantauan Anda sesuai dengan hal tersebut.
Setelah semua sumber data terhubung, saatnya untuk menetapkan kebijakan manajemen log formal.
Tetapkan Kebijakan Manajemen Log
Hanya catat data yang sesuai dengan profil risiko organisasi Anda. Evaluasi setiap sumber data berdasarkan nilai analitisnya dan volume log yang dihasilkannya untuk menghindari kelebihan beban sistem dengan data yang tidak perlu.
Untuk memastikan konsistensi, petakan semua data yang dimasukkan ke skema umum, seperti CIM atau ASIM, dan standarisasi nama bidang untuk menghilangkan kebingungan. Tetapkan periode retensi berdasarkan persyaratan kepatuhan. Misalnya, beberapa sistem memungkinkan "lapisan analitik" untuk pencarian langsung dan "lapisan data lake" untuk penyimpanan jangka panjang, yang dapat diperpanjang hingga 12 tahun. Menyaring informasi yang tidak relevan tidak hanya mengurangi gangguan tetapi juga membantu menurunkan biaya penyimpanan.
Sinkronkan stempel waktu di semua sumber data untuk memungkinkan korelasi peristiwa yang akurat. Selain itu, konfigurasikan Kebijakan Audit Windows untuk menyertakan audit tiket Kerberos (baik Sukses maupun Gagal) pada semua Pengontrol Domain. Berikan petunjuk pemetaan – seperti format, vendor, produk, dan ID peristiwa – untuk menyederhanakan dan menstandarisasi pemetaan bidang di seluruh sistem Anda.
sbb-itb-59e1987
Langkah 4: Menerapkan Deteksi Ancaman dan Analisis
Ubah log yang telah Anda kumpulkan menjadi wawasan yang dapat ditindaklanjuti dengan menetapkan aturan korelasi dan menggabungkan umpan intelijen ancaman.
Konfigurasi Aturan Korelasi
Mulailah dengan mengaktifkan aturan default yang disediakan oleh vendor Anda untuk mengamati bagaimana sistem SIEM Anda bereaksi terhadap pola lalu lintas di lingkungan Anda. Perlu diingat bahwa aturan yang telah dikonfigurasi sebelumnya ini biasanya hanya mencakup sekitar 19% dari teknik MITRE ATT&CK yang diketahui. Untuk mengisi celah tersebut, Anda perlu membuat aturan khusus yang disesuaikan dengan risiko spesifik organisasi Anda. Aturan-aturan ini harus membahas berbagai tahapan serangan, seperti pengintaian, pergerakan lateral, dan eksfiltrasi data.
Saat membuat aturan, gunakan logika if/then yang sederhana. Misalnya, Anda dapat mengkorelasikan peristiwa login Windows dengan proses deteksi dan respons endpoint (EDR) yang terjadi dalam waktu 5 hingga 15 menit, yang dapat mengindikasikan pergerakan lateral. Anda juga dapat menetapkan ambang batas, seperti memicu peringatan jika 10 kali login gagal diikuti oleh satu kali login yang berhasil. Untuk membatasi gangguan yang tidak perlu, kelompokkan kecocokan berdasarkan entitas seperti UserID atau SourceIP sehingga peringatan hanya dipicu ketika aktivitas berasal dari sumber yang sama.
Organisasi yang secara rutin memvalidasi aturan deteksi mereka mengalami manfaat yang terukur, termasuk 20% lebih sedikit pelanggaran. Selain itu, 47% pemimpin keamanan melaporkan bahwa pengujian aturan ini meningkatkan waktu rata-rata deteksi mereka. Gunakan simulasi pelanggaran dan serangan untuk menguji aturan Anda dan menyaring aktivitas yang diketahui aman untuk mengurangi false positive.
Fokuslah pada pembuatan aturan prioritas tinggi untuk skenario seperti Name Server Nakal (misalnya, mendeteksi lalu lintas DNS yang diarahkan ke luar server internal), bot SPAM (misalnya, memantau lalu lintas SMTP dari sistem internal yang tidak sah), dan peringatan untuk akun umum seperti "administrator" atau "root." Seperti yang disarankan oleh Stephen Perciballi dari Palo Alto Networks:
""Metodologi umum saya dengan SIEM (dan sistem pencegahan intrusi lainnya) adalah mengaktifkan semuanya dan melihat apa yang terjadi, lalu menonaktifkan apa yang tidak saya minati.""
Setelah aturan korelasi Anda diterapkan, tingkatkan upaya deteksi Anda dengan mengintegrasikan umpan intelijen ancaman.
Mengintegrasikan Umpan Intelijen Ancaman
Umpan intelijen ancaman eksternal dapat secara signifikan meningkatkan kemampuan deteksi Anda dengan mengidentifikasi indikator berbahaya, seperti URL mencurigakan, hash file, atau alamat IP, dalam data peristiwa Anda. Umpan ini biasanya diintegrasikan melalui server TAXII yang mendukung format STIX atau melalui unggahan API langsung.
Bagi pengguna Microsoft Sentinel, perlu diketahui bahwa konektor data TIP versi lama tidak akan lagi mengumpulkan data setelah April 2026. Untuk tetap unggul, migrasikan ke API Indikator Unggahan Intelijen Ancaman sebelum batas waktu tersebut.
Aturan analitik bawaan, yang sering disebut sebagai aturan "peta TI", dapat secara otomatis mengkorelasikan indikator ancaman yang diimpor dengan log mentah Anda. Misalnya, aturan ini dapat menandai alamat IP berbahaya dari umpan ancaman yang muncul di log aktivitas firewall atau DNS Anda. Sesuaikan pengaturan seperti frekuensi polling dan periode penelusuran untuk menjaga keseimbangan antara intelijen terkini dan kinerja sistem. Banyak platform SIEM memperbarui indikator ancaman setiap 7 hingga 10 hari untuk memastikan keakuratannya.
Saat terhubung ke feed TAXII, pastikan Anda memiliki URI root API dan ID Koleksi yang benar seperti yang dijelaskan dalam dokumentasi feed. Untuk feed tertentu, seperti FS-ISAC, Anda mungkin juga perlu menambahkan alamat IP klien SIEM Anda ke daftar yang diizinkan penyedia untuk menghindari masalah koneksi. Selain deteksi, playbook otomatis dapat memperkaya insiden yang ditandai dengan konteks tambahan dari alat seperti VirusTotal atau RiskIQ, membantu analis dengan cepat mengevaluasi tingkat keparahan potensi ancaman.
Langkah 5: Menetapkan Respons dan Tata Kelola Insiden
Setelah aturan deteksi dan umpan ancaman Anda aktif, langkah selanjutnya adalah memperketat kontrol atas akses SIEM dan menentukan tindakan respons yang jelas. Hal ini memastikan penanganan ancaman yang tepat dan mencegah akses yang tidak sah. Langkah-langkah tata kelola ini dibangun langsung berdasarkan langkah-langkah sebelumnya yaitu integrasi dan normalisasi data.
Siapkan Kontrol Akses Berbasis Peran (RBAC)
Setelah data SIEM Anda terintegrasi, saatnya untuk membatasi akses menggunakan RBAC. Pendekatan ini membatasi akses SIEM hanya kepada pengguna yang berwenang berdasarkan peran pekerjaan spesifik mereka, dengan menerapkan prinsip hak akses minimal. Dengan melakukan ini, Anda mengurangi kemungkinan kebocoran atau penyalahgunaan data secara tidak sengaja. Untuk lebih mengamankan akses, aktifkan autentikasi multifaktor (MFA) untuk semua akun yang terhubung ke SIEM dan alat endpoint Anda, memblokir sebagian besar upaya akses tidak sah.
Sesuaikan tampilan berbasis peran agar sesuai dengan kebutuhan yang berbeda. Misalnya, para eksekutif dapat mengakses ringkasan tingkat tinggi, sementara teknisi mendapatkan data log yang lebih detail. Gunakan OAuth2.0 adalah bahasa pemrograman yang digunakan untuk membuat dan mengelola data. untuk otentikasi SIEM dengan mendaftarkannya ke penyedia identitas Anda untuk mengelola token secara aman. Di luar pengaturan, sertakan Analisis Perilaku Pengguna & Entitas (UEBA) Untuk memantau pola akses dan memastikan aktivitas pengguna sesuai dengan izin mereka. Audit akses secara berkala sangat penting – tinjau izin pengguna, aturan penekanan peringatan, dan pengecualian perangkat untuk mengidentifikasi dan mengatasi kerentanan sejak dini.
Definisikan Proses Respons Insiden
Buat alur kerja terperinci untuk menangani insiden, yang didukung oleh panduan komprehensif. Tetapkan tim triase untuk memprioritaskan respons berdasarkan Triad CIA (Kerahasiaan, Integritas, Ketersediaan). Setiap tim beban kerja harus memiliki kontak yang ditunjuk untuk menerima peringatan prioritas tinggi dengan konteks keamanan yang diperlukan untuk tindakan segera.
Alur kerja Anda harus mencakup tugas-tugas spesifik untuk setiap titik akhir, seperti mengisolasi perangkat, mengkarantina data, dan mencabut kredensial yang disalahgunakan. Gunakan SOAR (Orkestrasi Keamanan, Otomatisasi, dan Respons) untuk mengotomatiskan tugas-tugas berulang, seperti mengkarantina sistem yang terdampak, sekaligus memungkinkan tim SecOps untuk mengambil tindakan jarak jauh secara langsung guna penanganan yang lebih cepat. Seperti yang dijelaskan oleh Direktorat Sinyal Australia:
""Platform SOAR tidak akan pernah menggantikan petugas penanganan insiden manusia; namun, dengan mengotomatiskan beberapa tindakan yang terlibat dalam menanggapi peristiwa dan insiden tertentu, platform ini dapat memungkinkan staf untuk fokus pada masalah yang lebih kompleks dan bernilai tinggi.""
Tinjau insiden secara berkala untuk menyempurnakan rencana respons Anda. Gunakan alat yang menyimpan jejak audit terperinci untuk memverifikasi bahwa tindakan otomatis dan manual efektif.
Bagi organisasi yang bergantung pada hosting yang aman, penyedia seperti... Serverion Memberikan dukungan untuk strategi respons insiden dan tata kelola ini, memastikan kinerja dan keamanan yang kuat.
Langkah 6: Validasi dan Optimalkan Pengaturan Anda
Setelah Anda menetapkan tata kelola dan mengkonfigurasi sistem Anda, langkah selanjutnya adalah mewujudkan integrasi Anda sebagai operasi keamanan proaktif. Validasi adalah kunci di sini. Seperti yang dinyatakan NetWitness dengan tepat:
""Sebagian besar program SIEM gagal karena satu alasan sederhana: mereka mengumpulkan semuanya, tetapi mereka tidak membuktikan apa yang sebenarnya dapat mereka deteksi.""
Artinya, sekadar mengumpulkan data saja tidak cukup – Anda perlu menguji seberapa baik sistem Anda mendeteksi dan merespons ancaman. Dengan berfokus pada akurasi deteksi dan metrik kinerja, Anda dapat mengubah pengumpulan data mentah menjadi operasi keamanan yang efektif.
Akurasi Deteksi Tes
Mulailah dengan menjalankan simulasi penyerang menggunakan alat seperti Metasploit. Simulasi ini harus mencakup tahapan seperti akses awal, eksekusi, dan peningkatan hak akses. Tujuannya adalah untuk memastikan SIEM Anda menghasilkan peringatan yang dapat ditindaklanjuti selama skenario ancaman dunia nyata. Untuk membuat proses ini lebih efektif, petakan setiap aturan korelasi ke hal-hal spesifik. Teknik MITRE ATT&CK. Ini akan membantu Anda menentukan celah cakupan di seluruh siklus serangan. Gunakan skala penilaian 0–3 untuk mengukur efektivitas deteksi dan mengidentifikasi area yang perlu ditingkatkan.
Langkah penting lainnya adalah memverifikasi bahwa jumlah kejadian endpoint sesuai dengan yang diserap oleh SIEM Anda. Ketidaksesuaian dapat mengindikasikan kehilangan data. Pengujian beban juga penting – masukkan lebih dari 1 juta kejadian untuk mengevaluasi seberapa baik sistem Anda menangani beban tinggi dan apakah dasbor tetap responsif di bawah tekanan. Alat seperti Windows Sysinternals Sysmon dapat meningkatkan visibilitas ke dalam aktivitas sistem, melengkapi EDR Anda untuk kemampuan deteksi yang lebih mendalam. Dengan waktu rata-rata pembobolan oleh penjahat siber hanya 48 menit (dan secepat 51 detik dalam beberapa kasus), penyempurnaan akurasi deteksi menjadi lebih penting dari sebelumnya.
Setelah Anda yakin dengan kemampuan deteksi Anda, alihkan fokus ke metrik kinerja operasional.
Tinjau Metrik Kinerja
Metrik kunci seperti Mean Time to Detect (MTTD) dan Mean Time to Respond (MTTR) sangat penting untuk mengevaluasi efisiensi sistem Anda. Meskipun MTTD rata-rata industri sekitar 207 hari, Pusat Operasi Keamanan (SOC) tingkat atas bertujuan untuk mengurangi waktu deteksi hingga hanya beberapa menit untuk ancaman kritis. Demikian pula, rasio konversi peringatan menjadi insiden Nilainya seharusnya berada di antara 15% dan 25%. Jika nilainya di bawah 10%, itu pertanda jelas bahwa sistem Anda perlu disetel.
Respons waktu nyata juga bergantung pada meminimalkan penundaan penyerapan log – log kritis harus memiliki jeda kurang dari 60 detik. Selain itu, siapkan peringatan otomatis untuk menandai penggunaan CPU atau memori yang tinggi, karena hambatan sumber daya dapat memperlambat deteksi insiden. Tinjauan rutin sangat penting: adakan pertemuan mingguan dengan tim SOC Anda untuk menganalisis metrik kinerja dan menyesuaikan logika deteksi berdasarkan data terbaru. Hindari menjalankan SIEM Anda melebihi 80% dari kapasitas lisensinya, karena melebihi ambang batas ini dapat menyebabkan hilangnya log selama peristiwa keamanan berisiko tinggi.
Kesimpulan
Mengintegrasikan SIEM dengan sistem endpoint adalah proses berkelanjutan yang membutuhkan pembaruan dan peningkatan secara berkala. Seperti yang dinyatakan dengan tepat oleh Lizzie Danielson dari Huntress:
""Tidak ada proyek yang benar-benar 'selesai'. Pemahaman Anda tentang sistem akan terus berkembang. Ancaman siber yang akan dilancarkan terhadap Anda juga akan terus berkembang. Terakhir, teknologi yang Anda miliki juga akan terus berkembang. Satu-satunya cara untuk tetap aman adalah dengan mengembangkan implementasi SIEM Anda seiring dengan perkembangan tersebut."‘
Mulailah dengan berfokus pada log yang paling penting. Ini termasuk memasukkan log Endpoint Detection and Response (EDR), log perangkat jaringan, dan peristiwa Domain Controller. Membangun fondasi yang kuat yang menghubungkan peristiwa endpoint dengan insiden yang lebih besar dapat secara signifikan mengurangi waktu investigasi.
Jangan abaikan pentingnya pelatihan tim. Cyber.gov.au dengan jelas menyoroti hal ini: "Investasikan pada pelatihan, bukan hanya teknologi." Tim internal Anda lebih memahami jaringan Anda daripada siapa pun, menjadikan mereka pemain kunci dalam mengidentifikasi ancaman yang halus. Jaga kemampuan mereka tetap tajam dengan meninjau antrian insiden, menganalisis data ancaman, dan selalu memperbarui informasi tentang perubahan platform. Langkah-langkah ini secara alami akan melengkapi tahap-tahap awal implementasi SIEM Anda.
Jadikan pemantauan kesehatan dan kinerja sistem SIEM Anda sebagai tugas rutin. Pastikan sumber data prioritas tinggi secara konsisten mengirimkan log dan infrastruktur Anda mampu menangani peningkatan volume log sesuai kebutuhan. Audit rutin terhadap aturan penekanan peringatan dan deteksi khusus dapat membantu menutup potensi celah keamanan.
Bagi organisasi yang menginginkan integrasi SIEM yang kuat sekaligus hosting tingkat perusahaan yang aman, Serverion menawarkan solusi yang dirancang untuk memenuhi tantangan keamanan saat ini.
Tanya Jawab Umum
Langkah-langkah apa yang harus saya ambil untuk memastikan sistem SIEM saya bekerja dengan lancar dengan perangkat keamanan endpoint saya?
Untuk memastikan sistem SIEM Anda bekerja dengan lancar dengan alat keamanan endpoint Anda, mulailah dengan memeriksa apakah SIEM Anda dapat menangani format dan protokol log yang digunakan oleh solusi endpoint. Konfirmasikan bahwa sistem telah diatur untuk menerima log melalui metode yang didukung seperti... Syslog, API, atau ekspor file. Selain itu, periksa kembali apakah pengaturan jaringan, seperti alamat IP atau konfigurasi DNS, telah diatur dengan benar untuk memastikan komunikasi yang aman.
Jika Anda menggunakan alat endpoint yang dikelola cloud, periksa apakah SIEM Anda mendukung penyerapan data melalui opsi seperti Koneksi API atau integrasi penyimpanan cloud (misalnya, AWS S3). Sebaiknya tinjau dokumentasi kedua sistem untuk memverifikasi kompatibilitas, protokol yang didukung, dan petunjuk pengaturan khusus sebelum melanjutkan integrasi.
Sumber data apa yang harus saya fokuskan untuk penyerapan log yang efektif dalam pengaturan SIEM-Endpoint Security?
Untuk membuat pengaturan SIEM-Endpoint Security Anda efisien, fokuslah pada hal-hal berikut: sumber data bernilai tinggi yang menawarkan visibilitas luas dan membantu mendeteksi ancaman sejak dini. Mulailah dengan log titik akhir, karena log tersebut melacak aktivitas penting seperti eksekusi proses, modifikasi file, dan koneksi jaringan – yang seringkali merupakan indikator awal perilaku berbahaya. Log penting lainnya termasuk log dari pengendali domain (untuk memantau otentikasi pengguna), perangkat jaringan (untuk menganalisis lalu lintas), dan lingkungan awan (untuk memantau aktivitas cloud). Sumber-sumber ini bekerja sama untuk mengungkap pola mencurigakan di seluruh jaringan Anda.
Dengan memfokuskan perhatian pada area-area kritis ini, Anda dapat mencakup lebih banyak potensi celah keamanan tanpa tenggelam dalam data yang tidak perlu. Pastikan untuk mengkonfigurasi kebijakan audit yang terperinci dan menggunakan metode yang aman untuk pengiriman log guna menjaga kualitas dan keandalan data yang Anda kumpulkan.
Bagaimana cara mengevaluasi kinerja aturan deteksi ancaman saya dalam pengaturan SIEM-Endpoint Security?
Untuk mengukur seberapa baik aturan deteksi ancaman Anda bekerja, fokuslah pada beberapa metrik utama: positif sejati, positif palsu, Dan negatif palsu.
- Positif sejati Menampilkan ancaman yang berhasil diidentifikasi oleh sistem Anda, menunjukkan seberapa efektif sistem tersebut menangkap aktivitas berbahaya.
- Positif palsu Aktivitas yang tidak berbahaya ini ditandai sebagai ancaman, yang dapat menyebabkan peringatan yang tidak perlu dan membuang waktu. Menjaga agar aktivitas ini tetap rendah akan meningkatkan efisiensi.
- Negatif palsu Ancaman-ancaman ini sama sekali tidak terdeteksi oleh sistem Anda, dan meminimalkan ancaman-ancaman ini sangat penting untuk menghindari potensi pelanggaran keamanan.
Pengujian dan penyesuaian rutin sama pentingnya dengan pemantauan metrik ini. Ini berarti meninjau kualitas peringatan, menganalisis hasil insiden, dan menyesuaikan pengaturan aturan untuk selalu selangkah lebih maju dari ancaman baru. Dengan menggabungkan praktik-praktik ini dengan penyempurnaan berkelanjutan, Anda dapat mempertahankan sistem deteksi yang akurat dan andal dalam lingkungan perusahaan.
