全部产品
Search

搜索本产品

    Security Center:Manajemen aturan

    文档中心

    Security Center:Manajemen aturan

    更新时间:Jan 21, 2026

    Agentic SOC menyediakan aturan deteksi bawaan untuk menganalisis peringatan dan log yang diingest, merekonstruksi rantai serangan serta garis waktu ancaman, serta menghasilkan peringatan teragregasi dan event keamanan terperinci. Anda juga dapat membuat aturan deteksi kustom guna membangun sistem deteksi ancaman yang disesuaikan dengan kebutuhan bisnis Anda.

    Ikhtisar

    Fitur manajemen aturan Agentic SOC menganalisis log yang distandardisasi dan menggunakan playbook bawaan untuk menghasilkan peringatan agregasi, analisis, serta peringatan analisis kustom. Fitur ini membuat event keamanan melalui metode seperti graph computing, alert pass-through, dan agregasi tipe yang sama guna membantu Anda menangani event ancaman. Manajemen aturan mendukung format aturan berikut untuk menghasilkan peringatan dan event:

    • Sintaks SQL: Melakukan deteksi peringatan dan pembuatan event dengan memfilter log, mencocokkan fitur, melakukan statistik jendela, serta menjalankan analisis asosiasi lainnya pada log dalam cakupan yang ditentukan.

    • Playbook: Melakukan deteksi peringatan dan pembuatan event dengan memanggil API layanan Alibaba Cloud dan mengambil keputusan berdasarkan alur playbook. Metode ini umumnya digunakan untuk peringatan status bisnis.

    Jenis aturan

    Jenis aturan

    Deskripsi

    Predefined

    Aturan predefined menyediakan deteksi ancaman siap pakai dengan menganalisis log yang berada dalam cakupan efektifnya dan telah diingest ke dalam Agentic SOC. Peringatan keamanan yang dihasilkan dari pemicuan aturan ditampilkan pada tab Aggregate and Analyze Alerts di halaman Agentic SOC > Alert. Aturan ini menggunakan teknologi asosiasi graf untuk mengagregasi peringatan yang memiliki Aset atau IOC (Indicators of Compromise) yang sama menjadi event, serta mengasosiasikan dan mengagregasi semua peringatan kecuali peringatan analisis kustom.

    Custom

    Aturan custom menyediakan kemampuan ekstensi aturan yang fleksibel dan templat aturan untuk skenario deteksi ancaman kompleks. Hal ini membantu Anda dengan cepat menyesuaikan aturan deteksi ancaman berdasarkan templat. Anda dapat menerapkan deteksi ancaman untuk aturan kustom berdasarkan sintaks SQL atau playbook.

    Peringatan keamanan yang dihasilkan oleh aturan kustom ditampilkan pada tab Custom Alert Analysis di halaman Agentic SOC > Alert. Aturan kustom menghasilkan insiden keamanan melalui alert pass-through atau agregasi tipe yang sama.

    Metode pembuatan event

    • Graph computing: Menggunakan teknologi asosiasi graf untuk mengasosiasikan dan mengagregasi peringatan yang memiliki aset atau Indicators of Compromise (IOCs) yang sama menjadi satu event. Semua peringatan diasosiasikan dan diagregasi, kecuali peringatan analisis kustom.

    • Alert pass-through: Menghasilkan satu event keamanan untuk setiap peringatan yang dihasilkan berdasarkan aturan analisis.

    • Agregasi tipe yang sama: Mengagregasi semua peringatan yang dihasilkan berdasarkan aturan analisis yang sama menjadi satu event keamanan.

    Cakupan

    Saat Anda mengaktifkan layanan Agentic SOC, model penagihan dan item penagihan yang dipilih menentukan cakupan fitur manajemen aturan yang tersedia. Untuk informasi selengkapnya, lihat Pembelian dan aktivasi Agentic SOC.

    • Langganan:

      • Hanya pembelian Log Ingestion Traffic: aturan Predefined dan aturan Custom (hanya mendukung log dengan metode normalisasi "Scan Query").

        Catatan

        Jika Anda juga membeli fitur pay-as-you-go untuk Log Management, Anda dapat menggunakan semua aturan kustom.

      • Membeli Log Ingestion Traffic dan Log Storage Capacity : Aturan Predefined dan aturan Custom.

      • Pembelian terpisah Log Storage Capacity: Tidak didukung.

    • Pay-as-you-go: Aturan Predefined dan aturan Custom (hanya mendukung log yang menggunakan metode standardisasi Scan Query).

      Catatan

      Jika Anda juga membeli fitur pay-as-you-go Log Management, Anda dapat menggunakan semua aturan kustom.

    Alur kerja

    image

    Aktifkan atau nonaktifkan aturan predefined

    Aturan analisis predefined diaktifkan secara default. Anda dapat melihat detail aturan predefined serta mengaktifkan atau menonaktifkannya. Namun, Anda tidak dapat mengedit atau menghapus aturan predefined tersebut.

    1. Buka halaman Agentic SOC > Rule Management di Konsol Security Center. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Pada tab Predefined, Anda dapat melihat daftar aturan predefined. Pada kolom Actions suatu aturan tertentu, klik Details untuk melihat informasi dasarnya, pengaturan pembuatan peringatan, dan pengaturan pembuatan insiden.

    3. Klik sakelar Rule Status: untuk mengaktifkan atau menonaktifkan aturan predefined target.

      Catatan

      Alternatifnya, dalam daftar aturan predefined, klik Enable atau Disabled pada kolom Enabling Status untuk aturan target.

      image

    4. Anda dapat mengagregasi dan menganalisis peringatan yang dihasilkan saat aturan predefined dipicu pada tab Aggregate and Analyze Alerts di halaman Agentic SOC > Alert.

    Buat dan aktifkan aturan kustom

    1. Buka halaman Agentic SOC > Rule Management di Konsol Security Center. Di pojok kiri atas, pilih wilayah tempat aset yang ingin Anda lindungi berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Pada tab Rule Template, klik Create Rule pada kolom Actions untuk templat target. Alternatifnya, klik Create Custom Rule pada tab Custom.

      Penting

      Disarankan untuk membuat aturan dari templat agar konfigurasi lebih sederhana dan efisien.

    3. Pada panel Create Custom Rule, pada tab Basic Information, masukkan nama dan deskripsi aturan, lalu klik Next.

    4. Pada tab Alert Settings, konfigurasikan aturan pembuatan peringatan.

      Informasi peringatan yang dihasilkan dapat dilihat pada tab Custom Alert Analysis di halaman Agentic SOC > Alert. Item konfigurasi yang tersedia beserta nilainya bervariasi tergantung pada aturan yang dikonfigurasi. Berikut penjelasan mengenai item konfigurasi dan nilainya:

      Sintaks SQL

      Metode ini menggunakan SQL untuk melakukan deteksi peringatan dan pembuatan event dengan memfilter log, mencocokkan fitur, melakukan statistik jendela, serta menjalankan analisis asosiasi lainnya pada log dalam cakupan yang ditentukan.

      Isi aturan

      Item konfigurasi

      Deskripsi

      Rule Body

      Default-nya adalah SQL.

      Log Scope

      Pilih cakupan log untuk deteksi aturan. Anda harus memilih kategori standar dan struktur standar log. Anda dapat memilih beberapa struktur log standar.

      Klik tautan Standard Fields untuk melihat deskripsi field log untuk struktur log saat ini.

      SQL Statement

      Gunakan pernyataan SQL untuk mengkueri catatan event tertentu guna mengidentifikasi potensi perilaku berbahaya. Untuk informasi selengkapnya tentang cara mengonfigurasi pernyataan kueri SQL, lihat topik berikut:

      Untuk informasi selengkapnya tentang sintaks SQL, lihat Sintaks dan fitur analisis SQL.

      Pengaturan penjadwalan

      Saat aturan kustom berbasis SQL diaktifkan, Agentic SOC membuat scheduled SQL job yang sesuai di Simple Log Service (SLS) berdasarkan Scheduling Settings. SLS kemudian menghasilkan multiple execution instances berdasarkan scheduling interval. Untuk informasi selengkapnya, lihat Mengelola scheduled SQL job dan Mengkueri data hasil Scheduled SQL job.

      Deskripsi parameter penjadwalan

      Item konfigurasi

      Deskripsi

      Scheduling Interval

      Tentukan frekuensi eksekusi kueri SQL. Anda dapat menggunakan salah satu metode berikut:

      • Fixed Interval: Rentang yang diizinkan adalah 5 menit hingga 24 jam.

      • Cron: Presisi minimum adalah menit, format 24 jam. Contoh konfigurasi:

        • 0/5 * * * *: Eksekusi setiap 5 menit, dimulai dari menit ke-0.

        • 0 0/1 * * *: Eksekusi setiap 1 jam dimulai dari pukul 00.00.

        • 0 18 * * *: Eksekusi sekali sehari pukul 18.00.

        • 0 0 1 * *: Eksekusi pukul 00.00 pada hari pertama setiap bulan.

      SQL Time Window

      Tentukan rentang waktu log yang akan dikueri untuk instance SQL terjadwal. Nilainya harus dalam rentang 5 menit hingga 24 jam.

      Penting

      Jendela waktu harus lebih besar dari atau sama dengan interval penjadwalan.

      Start Time

      Waktu mulai eksekusi instance SQL terjadwal setelah aturan diaktifkan. Anda dapat menggunakan salah satu metode berikut:

      • Rule Enabled At: Saat aturan diaktifkan.

      • Specified Time: Waktu spesifik yang Anda tetapkan, akurat hingga menit.

      Parameter eksekusi tugas SQL terjadwal

      • Waktu penjadwalan tugas: Ditentukan oleh Start Time dan Scheduling Interval dalam pengaturan penjadwalan. Waktu terjadwal tidak terpengaruh oleh timeout eksekusi, keterlambatan, atau eksekusi tambahan dari instance sebelumnya.

        Contohnya, jika waktu mulai aturan adalah 10:58:45 pada 16 Mei 2025 dan interval penjadwalan adalah 5 menit, maka waktu terjadwalnya adalah 10:58:45 pada 16 Mei 2025, 11:03:45 pada 16 Mei 2025, 11:08:45 pada 16 Mei 2025, dan seterusnya.

      • Waktu eksekusi: Waktu saat tugas SQL terjadwal benar-benar dijalankan. Jika tugas diulang, ini adalah waktu saat percobaan ulang terakhir dimulai.

        Catatan

        Tugas SQL terjadwal mungkin mengalami timeout, keterlambatan, atau backfill. Akibatnya, waktu eksekusi bisa berbeda dari waktu terjadwal.

      • Rentang kueri SQL: Rentang waktu untuk analisis SQL. Rentang ini ditentukan oleh Waktu penjadwalan tugas dan SQL Time Window, dan tidak terkait dengan waktu eksekusi tugas aktual. Rumus perhitungan: [Waktu terjadwal dibulatkan ke menit - SQL Time Window, Waktu terjadwal dibulatkan ke menit).

        Contohnya, jika waktu mulai aturan adalah 10:58:45 pada 16 Mei 2025, interval penjadwalan adalah 5 menit, dan jendela waktu SQL adalah 5 menit.

        Rentang kueri SQL untuk tugas terjadwal pertama adalah sebagai berikut:

        • Waktu terjadwal: 10:58:45 pada 16 Mei 2025

        • Timestamp data: [10:53:00 pada 16 Mei 2025, 10:58:00 pada 16 Mei 2025)

        Rentang kueri SQL untuk tugas terjadwal kedua adalah sebagai berikut:

        • Waktu terjadwal: 11:03:45 pada 16 Mei 2025

        • Timestamp data: [10:58:00 pada 16 Mei 2025, 11:03:00 pada 16 Mei 2025)

      Pembuatan log peringatan

      Agentic SOC menghasilkan log peringatan berdasarkan item konfigurasi Alert Log Generation. Log tersebut dapat dilihat di Agentic SOC > Log Management.

      Definisi atribut peringatan

      • Generation Structure: Pilih kategori log untuk peringatan, seperti Endpoint Detection & Response dan Firewall.

        Catatan

        Klik View Standard Fields dari daftar drop-down untuk melihat detail field untuk tipe log tersebut.

      • Alert Type: Menentukan jenis peringatan yang dideteksi oleh aturan saat ini.

      • Alert Level:

        • Fungsi: Menentukan tingkat risiko peringatan.

        • Nilai yang valid: Information, Low, Medium, High, dan Critical.

      • ATT&CK Phase

        • Fungsi: Mengasosiasikan perilaku serangan yang dideteksi oleh aturan dengan tahapan dan teknik serangan yang sesuai.

        • Konfigurasi:

          • Anda dapat mengklik + Add Attack Stage untuk memetakan beberapa tahapan serangan.

          • Anda dapat memilih beberapa teknik serangan dalam setiap tahapan serangan.

        • Batasan: Jumlah total teknik serangan tidak boleh melebihi 5 di semua tahapan.

      Entity Mapping

      Memetakan field tak terstruktur dari hasil kueri, seperti alamat IP atau nama file, ke objek entity terstruktur. Hal ini memungkinkan sistem mengagregasi semua aktivitas terkait suatu entitas, membangun profil ancaman, dan meningkatkan efisiensi analisis.

      Prosedur

      1. Pilih tipe entitas

        • Dari daftar drop-down, pilih tipe entitas yang akan dipetakan, seperti host, file, alamat IP, atau proses.

        • Anda dapat mengklik Add Entity Mapping untuk mengonfigurasi berbagai tipe entitas.

      2. Petakan properti entitas

        • Konfigurasikan properti untuk setiap entitas. Properti dibagi menjadi dua kategori:

          • Properti wajib: Pengidentifikasi unik entitas. Misalnya, properti wajib untuk entitas "alamat IP" adalah alamat itu sendiri.

          • Properti opsional: Memberikan informasi tambahan untuk entitas. Misalnya, Anda dapat mengasosiasikan "hostname" dengan entitas "alamat IP" sebagai properti opsional.

        • Anda dapat mengklik Add Entity Attribute Mapping untuk mengonfigurasi beberapa properti untuk suatu entitas.

      3. Tentukan nilai properti

        • Tetapkan nilai untuk setiap properti yang dipilih.

        • Format: Dua format didukung:

          • Referensi variabel: $field_name$ (Mereferensikan field dari hasil kueri).

          • Konstanta: Nilai string tetap.

      Contoh:

      image

      Alert Enrichment

      Anda dapat menghasilkan nama dan deskripsi peringatan secara dinamis dengan mereferensikan field kueri sebagai variabel.

      • Alert Name:

        • Panjang dan format: Panjang maksimum adalah 50 karakter.

        • Format referensi: $SQL query returned field$.

        • Default (jika dibiarkan kosong): Rule Name digunakan.

        • Contoh: Terdeteksi serangan jaringan multi-tipe frekuensi tinggi dari $src_ip$.

      • Alert Description:

        • Panjang: Panjang maksimum adalah 1.000 karakter.

        • Format referensi variabel: $sql_query_return_field$.

        • Default (biarkan kosong): Nilai default adalah Rule Description.

        • Contoh: Peringatan dari: $product_code$. Terdeteksi serangan jaringan dari $src_ips$. Aset yang terdampak meliputi: $dst_ips$.

      Penting

      Jika konten akhir yang dihasilkan setelah mereferensikan variabel melebihi batas panjang, bagian yang melebihi akan dipotong secara otomatis.

      Supresi Peringatan

      Anda dapat mengonfigurasi aturan dalam Alert Suppression untuk mengontrol jumlah peringatan keamanan yang dihasilkan, tetapi pembuatan dan pengiriman log peringatan tidak terpengaruh.

      Agentic SOC mengelompokkan peringatan berdasarkan Produk Kartesius dari nilai field yang ditentukan dalam kondisi penekanan. Maksimal 100 peringatan keamanan dapat dihasilkan untuk setiap kelompok dalam jendela penekanan. Ketika jumlah catatan peringatan melebihi batas ini, catatan berikutnya yang memenuhi kondisi yang sama tidak akan menghasilkan peringatan keamanan.

      Item konfigurasi

      Deskripsi

      Suppression Window

      • Suppression Window menentukan periode statistik untuk catatan peringatan.

      • Jendela penekanan dimulai pada saat aturan menghasilkan log peringatan pertama.

      • Nilainya harus dalam rentang 5 menit hingga 24 jam.

      Catatan

      Asumsikan aturan menghasilkan log peringatan pertama pada pukul 10:58:45 tanggal 16 Mei 2025 dan jendela penekanan diatur ke 10 menit. Jendela penekanan pertama adalah dari 10:58:45 hingga 11:08:45. Jendela penekanan kedua adalah dari 11:08:45 hingga 11:18:45, dan seterusnya.

      Suppression Condition

      • Masukkan nama kolom, nama field, atau alias yang didefinisikan setelah kata kunci `select` dalam pernyataan SQL. Jika Anda tidak mengonfigurasi parameter ini, sistem menggunakan field `rule_id` dari aturan analisis kustom sebagai kondisi penekanan secara default.

      • Agentic SOC mengelompokkan peringatan berdasarkan Produk Kartesius dari nilai field yang ditentukan dalam kondisi penekanan.

        Contohnya, jika Anda menentukan dua field a dan b sebagai kondisi penekanan, dengan himpunan nilai a adalah {1,2} dan himpunan nilai b adalah {3,4}, maka dihasilkan total empat kombinasi: {1,3}, {1,4}, {2,3}, dan {2,4}. Setiap kombinasi merupakan satu kelompok.

      • Maksimal 100 peringatan keamanan dapat dihasilkan untuk setiap kelompok dalam jendela tersebut.

      Penting

      Kondisi penekanan bersifat opsional. Jika Anda tidak menentukan kondisi penekanan, maksimal 100 peringatan keamanan dapat dihasilkan berdasarkan aturan dalam keseluruhan jendela.

      Playbook

      Melakukan deteksi peringatan dan pembuatan event dengan memanggil API layanan Alibaba Cloud dan mengambil keputusan berdasarkan alur playbook. Metode ini umumnya digunakan untuk peringatan status bisnis.

      Catatan

      Jika aturan dibuat dari Rule template (playbook), playbook kustom yang sesuai akan dibuat secara otomatis. Anda dapat melihatnya pada tab Custom Playbook di Agentic SOC > SOAR.

      Isi aturan

      Item konfigurasi

      Deskripsi

      Rule Body

      Pilih Script.

      Playbook Name

      • Jika Anda membuat aturan dari templat aturan (playbook), Anda dapat mengubah nama playbook. Nama playbook harus unik.

      • Jika Anda membuat aturan dengan mengklik Create Custom Rule pada tab Custom, Anda dapat memilih playbook yang sesuai dari daftar drop-down.

        Penting

        Hanya playbooks yang memenuhi kondisi berikut yang ditampilkan dalam daftar dropdown ini:

        • Playbook tersebut adalah playbook kustom.

        • Playbook tersebut telah dipublikasikan.

        • Tipe parameter input node awal playbook harus Custom.

        • Playbook tersebut tidak dikaitkan dengan aturan analisis dan deteksi lainnya.

      Playbook Description

      • Aturan yang dibuat dari templat aturan (kelas playbook) dapat dimodifikasi.

      • Jika Anda membuat aturan dengan mengklik Create Custom Rule pada tab Custom, deskripsi playbook target dalam orkestrasi respons akan ditarik secara otomatis dan tidak dapat dimodifikasi.

      Pengaturan parameter

      Anda hanya perlu mengatur parameter ketika membuat aturan dari templat aturan (playbook). Playbook yang berbeda memerlukan parameter yang berbeda. Anda dapat mengklik ikon image di samping parameter untuk melihat deskripsi dan petunjuk konfigurasinya.

      Konfigurasi otorisasi

      Anda hanya perlu mengonfigurasi otorisasi ketika membuat aturan dari templat aturan (playbook).

      • Execution Role: Jika Anda belum membuat role, klik Go to RAM Console to Create Role. Pada halaman otorisasi cepat RAM, klik Confirm Authorization. Role bernama AliyunSiemSoarExecutionDefaultRole kemudian akan dibuat secara otomatis.

        Catatan

        Jika Anda tidak memiliki izin untuk membuat role, hubungi administrator RAM (Pengguna RAM dengan izin Resource Management atau Akun Alibaba Cloud) untuk membuat role dan melampirkan kebijakan kepercayaan di Konsol RAM. Untuk informasi selengkapnya, lihat Membuat RAM role untuk layanan Alibaba Cloud tepercaya. Konfigurasinya dijelaskan sebagai berikut:

        • Entitas Tepercaya: Alibaba Cloud Service.

        • Nama entitas tepercaya: cloudsiem.sas.aliyuncs.com.

        • Nama role: AliyunSiemSoarExecutionDefaultRole

      • Access Policy: Bagian ini mencantumkan kebijakan izin yang diperlukan untuk mengeksekusi templat playbook yang dipilih. Jika kebijakan yang diperlukan belum dilampirkan, klik Modify Policy, pilih kebijakan yang memerlukan otorisasi, lalu klik Authorize in RAM Console. Anda akan diarahkan ke halaman otorisasi cepat RAM untuk menyelesaikan otorisasi.

        Penting

        Jika Anda tidak memiliki izin otorisasi, hubungi administrator RAM (Pengguna RAM yang memiliki izin Resource Management atau Akun Alibaba Cloud) untuk melampirkan kebijakan akses yang diperlukan bagi role AliyunSiemSoarExecutionDefaultRole guna mengeksekusi playbook. Untuk informasi selengkapnya, lihat Mengelola izin untuk RAM role.

      Pengaturan penjadwalan

      Untuk aturan kustom yang menggunakan playbook, setelah diaktifkan, Agentic SOC menggunakan Scheduling Settings untuk membuat tugas terjadwal guna memanggil playbook.

      Catatan

      • Jika tugas terjadwal gagal menjalankan playbook dalam satu siklus, sistem secara otomatis mencoba ulang tugas tersebut setelah 30 detik. Jika tugas masih gagal setelah percobaan ulang, alur tugas saat ini dihentikan dan memasuki status menunggu. Tugas akan dimulai ulang pada siklus terjadwal berikutnya.

      • Anda dapat melihat catatan eksekusi playbook pada halaman detail playbook kustom di modul SOAR.

      Item konfigurasi

      Deskripsi

      Scheduling Interval

      Tentukan interval waktu eksekusi playbook. Anda dapat menggunakan salah satu metode berikut:

      • Fixed Interval: Rentang yang diizinkan adalah 5 menit hingga 24 jam.

      • Cron: Presisi minimum adalah menit, format 24 jam. Contoh konfigurasi:

        • 0/5 * * * *: Eksekusi setiap 5 menit, dimulai dari menit ke-0.

        • 0 0/1 * * *: Eksekusi setiap 1 jam dimulai dari pukul 00.00.

        • 0 18 * * *: Eksekusi sekali sehari pukul 18.00.

        • 0 0 1 * *: Eksekusi pukul 00.00 pada hari pertama setiap bulan.

      Start Time

      Waktu mulai eksekusi playbook setelah aturan diaktifkan. Anda dapat menggunakan salah satu metode berikut:

      • Rule Enabled At: Saat aturan diaktifkan.

      • Specified Time: Waktu spesifik yang Anda tetapkan, akurat hingga menit.

      Pembuatan log peringatan

      Agentic SOC menghasilkan log peringatan berdasarkan item konfigurasi Alert Log Generation. Log peringatan yang dihasilkan dapat dilihat di bawah Agentic SOC > Log Management.

      • Untuk Generation Structure, Anda hanya dapat memilih Other Alert Logs.

        Catatan

        Anda dapat mengklik View Standard Fields dalam daftar drop-down untuk melihat detail field untuk tipe log ini.

      • Alert Type: Menentukan jenis peringatan yang dideteksi oleh aturan saat ini.

      • Alert Level:

        • Fungsi: Menentukan tingkat risiko peringatan.

        • Nilai yang valid: Information, Low, Medium, High, dan Critical.

      • ATT&CK Phase

        • Fungsi: Mengasosiasikan perilaku serangan yang dideteksi oleh aturan dengan tahapan dan teknik serangan yang sesuai.

        • Konfigurasi:

          • Anda dapat mengklik + Add Attack Stage untuk memetakan beberapa tahapan serangan.

          • Anda dapat memilih beberapa teknik serangan dalam setiap tahapan serangan.

        • Batasan: Jumlah total teknik serangan tidak boleh melebihi 5 di semua tahapan.

      Penekanan peringatan

      Dengan menggunakan aturan yang Anda konfigurasi untuk Alert Suppression, Anda dapat mengontrol jumlah peringatan keamanan yang dihasilkan, tetapi hal ini tidak memengaruhi pembuatan dan pengiriman log peringatan.

      Agentic SOC mengelompokkan peringatan berdasarkan Produk Kartesius dari nilai field yang ditentukan dalam kondisi penekanan. Maksimal 100 peringatan keamanan dapat dihasilkan untuk setiap kelompok dalam jendela penekanan. Ketika jumlah catatan peringatan melebihi batas ini, catatan berikutnya yang memenuhi kondisi yang sama tidak akan menghasilkan peringatan keamanan.

      Item konfigurasi

      Deskripsi

      Suppression Window

      • Suppression Window menentukan periode statistik untuk menghitung catatan peringatan.

      • Jendela penekanan dimulai pada saat aturan menghasilkan log peringatan pertama.

      • Nilainya harus dalam rentang 5 menit hingga 24 jam.

      Catatan

      Asumsikan aturan menghasilkan log peringatan pertama pada pukul 10:58:45 tanggal 16 Mei 2025 dan jendela penekanan diatur ke 10 menit. Jendela penekanan pertama adalah dari 10:58:45 hingga 11:08:45. Jendela penekanan kedua adalah dari 11:08:45 hingga 11:18:45, dan seterusnya.

      Suppression Condition

      • Data dalam daftar drop-down bersumber dari field log standar yang sesuai dengan log peringatan yang dipilih dari pengaturan Alert Log Generation pada bagian Generation Structure.

        Catatan

        Pada halaman Agentic SOC > Integration Center, pada tab Standardized Rule, klik View Standard Fields untuk melihat informasi dasar dan detail field log target.

      • Agentic SOC mengelompokkan peringatan berdasarkan Produk Kartesius dari nilai field yang ditentukan dalam kondisi penekanan.

        Contohnya, jika Anda menentukan dua field a dan b sebagai kondisi penekanan, dengan himpunan nilai a adalah {1,2} dan himpunan nilai b adalah {3,4}, maka dihasilkan total empat kombinasi: {1,3}, {1,4}, {2,3}, dan {2,4}. Setiap kombinasi merupakan satu kelompok.

      • Maksimal 100 peringatan keamanan dapat dihasilkan untuk setiap kelompok dalam jendela tersebut.

      Penting

      Kondisi penekanan bersifat opsional. Jika Anda tidak menentukan kondisi penekanan, maksimal 100 peringatan keamanan dapat dihasilkan berdasarkan aturan dalam keseluruhan jendela.

    5. Pada tab Incident Generation Settings, Anda dapat mengonfigurasi aturan pembuatan event keamanan.

      Insiden yang dihasilkan dapat dilihat dan ditangani pada halaman Agentic SOC > Security Incident.

      Item konfigurasi

      Deskripsi

      Generate Event

      Pilih apakah akan menghasilkan event ketika peringatan memicu aturan.

      Incident Generation Method

      • Alert pass-through: Menghasilkan satu event keamanan untuk setiap peringatan yang dihasilkan berdasarkan aturan saat ini.

      • Agregasi tipe yang sama: Mengagregasi semua peringatan yang dihasilkan berdasarkan aturan saat ini menjadi satu event keamanan.

      Aggregation Window

      Anda hanya perlu mengonfigurasi ukuran jendela untuk skenario Incident Aggregation by Type. Rentang yang valid adalah 5 menit hingga 24 jam.

      Contohnya, jika Anda mengatur jendela agregasi ke 5 menit, semua peringatan keamanan yang dihasilkan dalam periode 5 menit ini akan diagregasi menjadi satu event keamanan.

    6. Aktifkan aturan kustom: Aturan yang baru dibuat memiliki status Disabled secara default. Anda dapat mengubah status aturan pada kolom Enabled Status atau kolom Actions.

      Catatan

      Disarankan untuk menguji aturan kustom sebelum mengaktifkannya.

    Uji aturan kustom (opsional)

    Sebelum mengaktifkan aturan kustom, Anda dapat mengubah Enabling Status aturan menjadi Testing dan melihat peringatan uji untuk memastikan output sesuai harapan. Sistem mengkalibrasi field peringatan, nilai field peringatan, dan field standar berdasarkan logika kalibrasi bawaan. Anda dapat meninjau hasil kalibrasi di konsol dan menyesuaikan sintaks SQL aturan atau playbook sesuai kebutuhan agar log peringatan yang dihasilkan memenuhi persyaratan kalibrasi.

    Catatan

    • Fase pengujian bersifat opsional. Hasil kalibrasi tidak memengaruhi pengaktifan aturan.

    • Peringatan yang dihasilkan selama pengujian tidak ditampilkan pada halaman Security Alerts.

    Prosedur:

    1. Pada tab Custom, ubah Enabling Status aturan target menjadi Testing.

    2. Pada kolom Actions untuk aturan target, klik View Alert Test Result.

    3. Pada halaman detail hasil uji, Anda dapat melihat grafik tren peringatan dan daftar peringatan, atau mengklik Details pada kolom Actions untuk suatu peringatan guna melihat hasil kalibrasinya.

    Lihat dan tangani peringatan serta event keamanan

    Setelah aturan deteksi ancaman diaktifkan, peringatan dan event keamanan akan dihasilkan jika log yang diingest memicu aturan tersebut. Anda dapat menangani peringatan dan event tersebut seperti yang dijelaskan dalam topik berikut:

    • Pada halaman Agentic SOC > Alert, Anda dapat melihat informasi peringatan yang dihasilkan pada tab Custom Alert Analysis dan Aggregate and Analyze Alerts. Untuk informasi selengkapnya, lihat Peringatan keamanan.

    • Lihat dan tangani insiden yang dihasilkan pada halaman Agentic SOC > Security Incident. Untuk informasi selengkapnya, lihat Respons Insiden Keamanan.