全部产品
Search

搜索本产品

    Security Center:Apa itu Cloud Threat Detection and Response (Agentic SOC)?

    文档中心

    Security Center:Apa itu Cloud Threat Detection and Response (Agentic SOC)?

    更新时间:Jan 17, 2026

    Agentic SOC adalah platform cloud-native untuk Security Information and Event Management (SIEM) dan Security Orchestration, Automation, and Response (SOAR). Platform ini mengumpulkan dan menganalisis log serta peringatan keamanan dari lingkungan multi-cloud dan multi-akun secara terpusat, menggunakan aturan deteksi bawaan dan model AI untuk mendeteksi ancaman secara otomatis serta mengoordinasikan respons cepat melalui playbook otomatis. Solusi ini mengatasi tantangan umum dalam operasi keamanan tradisional, seperti silodata, deteksi ancaman yang lambat, dan respons insiden yang tidak efisien.

    Kasus penggunaan umum

    Manajemen log multi-cloud terpadu

    • Tantangan: Di lingkungan multi-cloud dan hibrida, log keamanan tersebar di berbagai platform dengan format yang tidak konsisten, sehingga menciptakan silodata. Tim keamanan tidak memiliki perspektif global yang terpadu, sehingga sulit melacak serangan lintas cloud dan melakukan audit terpusat, yang secara signifikan meningkatkan kompleksitas operasional.

    • Solusi:

      • Ingesti log terpusat: Secara efisien mengingesti log heterogen dari lingkungan multi-cloud, pihak ketiga, dan on-premises ke dalam data lake terpadu. Mendukung berbagai metode ingesti, termasuk konektor untuk layanan seperti Amazon S3 dan Apache Kafka.

      • Penguraian dan normalisasi cerdas: Menggunakan mesin penguraian fleksibel dengan pemetaan bidang untuk mengubah volume besar log mentah tak terstruktur menjadi model data standar terpadu secara real time.

      • Analisis dan pelacakan global: Memungkinkan deteksi ancaman terpadu, pelacakan serangan lintas cloud, dan audit kepatuhan berdasarkan data yang telah dinormalisasi.

    Investigasi intrusi web

    • Tantangan: Setelah aplikasi web dikompromikan, penyerang sering melakukan lateral movement dan privilege escalation dengan mengeksploitasi berbagai kerentanan. Metode tradisional mengharuskan personel keamanan untuk secara manual mengorelasikan log dari berbagai sumber seperti WAF, keamanan host, dan network traffic—proses yang memakan waktu dan berisiko melewatkan petunjuk penting.

    • Solusi:

      1. Deteksi dan korelasi otomatis: Agentic SOC secara otomatis mengumpulkan dan menganalisis log Web Application Firewall (WAF) dan log keamanan host. Saat mendeteksi aktivitas seperti unggahan WebShell dan eksekusi proses abnormal, Agentic SOC secara otomatis mengorelasikan peringatan-peringatan tersebut menjadi satu insiden "Intrusi Web" yang komprehensif.

      2. Rekonstruksi jalur serangan: Halaman detail insiden menampilkan jalur serangan lengkap dalam bentuk garis waktu, mulai dari akses web awal dan eksploitasi kerentanan hingga penulisan WebShell, eksekusi reverse shell, dan eksekusi perintah berbahaya, memberikan gambaran utuh tentang serangan kepada personel keamanan.

      3. Respons otomatis: Gunakan playbook bawaan seperti Block Source IP via Cloud Firewall untuk secara otomatis menginstruksikan Cloud Firewall memblokir alamat IP penyerang di tepi jaringan.

    Remediasi malware cryptomining

    • Tantangan: Malware cryptomining mengonsumsi sumber daya komputasi yang signifikan, menyebabkan peningkatan biaya sumber daya cloud dan degradasi performa layanan bisnis yang sah. Proses respons manual—yang mencakup menemukan proses, menghentikan file, memblokir koneksi ke mining pool, dan memperbaiki titik masuk—sangat rumit dan menghambat respons cepat.

    • Solusi:

      1. Deteksi presisi: Agentic SOC menggabungkan log keamanan host, log aliran VPC, dan threat intelligence bawaan untuk mengidentifikasi proses cryptomining (seperti xmrig) dan koneksi jaringan anomali ke mining pool, lalu menghasilkan insiden "Aktivitas Cryptomining".

      2. Analisis cerdas: AI Assistant menganalisis dan merangkum insiden tersebut, merekomendasikan strategi respons berdasarkan kasus historis dan praktik terbaik, seperti "hentikan proses berbahaya dan blokir IP mining pool."

      3. Respons otomatis: Use Recommended Response Policy untuk menjalankan playbook yang menghentikan proses berbahaya dan mengkarantina file cryptomining.

    Cara kerja

    Agentic SOC mengintegrasikan log dari sumber multi-cloud, multi-akun, multi-produk, dan vendor pihak ketiga melalui alur kerja standar. Platform ini menganalisis log tersebut menggunakan aturan deteksi ancaman untuk menghasilkan insiden keamanan. Dengan kemampuan orkestrasi respons otomatisnya, Agentic SOC berkoordinasi dengan produk cloud terkait untuk mengeksekusi langkah-langkah keamanan seperti pemblokiran atau isolasi entitas berbahaya, sehingga memungkinkan respons insiden yang cepat dan efektif. Tahapan intinya sebagai berikut:

    1. Pengumpulan dan penguraian log: Mengumpulkan log mentah dari berbagai sumber data, termasuk produk cloud, perangkat pihak ketiga, dan aplikasi bisnis.

    2. Generasi peringatan: Mengidentifikasi potensi ancaman dalam volume log yang besar dengan menggunakan aturan deteksi bawaan atau langsung mengingesti peringatan asli dari produk pihak ketiga.

    3. Agregasi dan penanganan insiden: Menggabungkan beberapa peringatan yang menggambarkan serangan yang sama menjadi satu insiden menggunakan aturan korelasi yang dapat dikonfigurasi dan model komputasi graf.

    4. Orkestrasi respons: Insiden memicu playbook, baik secara otomatis berdasarkan kondisi yang telah ditentukan maupun secara manual. Playbook ini memanggil aksi komponen untuk menghasilkan dan mengirimkan tugas respons guna remediasi otomatis.

    image

    Konsep inti

    • Entity: Objek inti yang terlibat dalam peringatan atau insiden, seperti alamat IP, nama domain, hash file, proses, host, kontainer, ID sumber daya cloud (misalnya, ID instans ECS), atau akun pengguna. Entitas berfungsi sebagai node untuk mengorelasikan peringatan berbeda dan merekonstruksi jalur serangan.

    • Insiden: Insiden keamanan berakurasi tinggi yang dibuat dengan mengorelasikan beberapa peringatan terkait dari berbagai sumber data. Agentic SOC secara otomatis menggabungkan peringatan-peringatan tersebut menjadi satu insiden dan merekonstruksi garis waktu serangan.

    • Response policy: Aksi remediasi spesifik yang didefinisikan untuk suatu entitas dalam skenario tertentu. Misalnya, kebijakan bisa berupa "Block IP Address" atau "Terminate Process". Setiap kebijakan menentukan apa aksi yang harus diambil terhadap jenis entitas tertentu.

    • Response task: Pekerjaan eksekusi individual yang dihasilkan dari response policy dan ditujukan pada cakupan spesifik. Misalnya, kebijakan "Block IP Address" dapat menghasilkan dua tugas terpisah: satu untuk memblokir IP di Cloud Firewall Instance A dan lainnya di Cloud Firewall Instance B. Tugas merupakan eksekusi konkret dari kebijakan pada sumber daya tertentu.

    • Security Orchestration, Automation and Response (SOAR): Proses mengorganisasi dan mengelola aksi respons keamanan melalui alur kerja otomatis, yang dikenal sebagai playbook. SOAR mengeksekusi rangkaian operasi secara otomatis berdasarkan logika yang telah ditentukan untuk penanganan insiden otomatis.

      • Playbook: Alur kerja keamanan otomatis yang telah ditentukan sebelumnya, terdiri atas pemicu, kondisi, aksi, dan titik akhir. Playbook mendukung pengeditan grafis drag-and-drop, memungkinkan Anda menyesuaikan logika respons untuk insiden keamanan spesifik seperti cryptomining atau ransomware.

      • Component: Antarmuka yang digunakan untuk menghubungkan dan mengoperasikan sistem atau layanan eksternal. Komponen merupakan blok penyusun yang mengeksekusi aksi spesifik dalam playbook.

      • Resource instance: Instans layanan spesifik yang menjadi target aksi, seperti instans Cloud Firewall.

      • Action: Kemampuan spesifik yang dieksekusi oleh komponen. Satu komponen dapat berisi beberapa aksi. Misalnya, komponen manajemen titik akhir mungkin mencakup aksi seperti "disable account," "isolate network," atau "send notification."

    Keunggulan produk

    Agentic SOC adalah platform operasi keamanan yang terintegrasi mendalam dengan mesin AI Agent inti. Platform ini memungkinkan mode "smart auto-pilot" untuk operasi keamanan, sehingga Anda dapat beralih mulus dari kolaborasi manusia-mesin ke respons sepenuhnya otomatis sesuai kebutuhan.

    • Deteksi berakurasi tinggi dengan tingkat pengurangan peringatan 99,94%

      Dengan menggabungkan intelijen ancaman global, komputasi graf, dan analisis log cloud-native, Agentic SOC secara akurat mengidentifikasi ancaman baru, tidak dikenal, dan sangat menghindar dari jumlah besar peringatan. Hal ini mengurangi waktu deteksi rata-rata untuk insiden keamanan menjadi hitungan menit.

    • Respons otomatis dalam hitungan detik dengan cakupan remediasi 95%

      Didukung oleh mesin AI Agent intinya, Agentic SOC menyediakan kebijakan respons sekali klik dan playbook otomatis siap pakai (yang juga dapat dikustomisasi) tanpa perlu konfigurasi manual. Platform ini berkoordinasi dengan berbagai produk keamanan dan infrastruktur untuk melakukan analisis dan respons insiden serta peringatan secara sepenuhnya otomatis.

    • Rekonstruksi otomatis gambaran serangan lengkap

      Menggunakan komputasi graf dan model bahasa besar berfokus keamanan, Agentic SOC secara otomatis melacak dan merekonstruksi jalur serangan dan garis waktu lengkap.

    • Tampilan global terpadu dengan tingkat penemuan insiden lintas aset 90%

      Agentic SOC menyatukan pengumpulan dan pemrosesan data log dari berbagai cloud, akun, dan produk, secara signifikan mengurangi kompleksitas operasi keamanan cloud hibrida. Melalui manajemen dan audit terpusat, platform ini memberikan wawasan keamanan global, sehingga menyederhanakan analisis data dan upaya kepatuhan.

    Efisiensi operasi keamanan Agentic SOC

    Mean Time To Detect (MTTD), Mean Time To Acknowledge (MTTA), dan Mean Time To Respond (MTTR) adalah metrik utama untuk mengukur efisiensi operasi keamanan. Data berikut, berdasarkan statistik dari pengguna nyata, menunjukkan bagaimana Agentic SOC meningkatkan efisiensi operasi keamanan.

    Ikhtisar efisiensi

    Metrik

    Metode tradisional

    Efisiensi Agentic SOC

    Peningkatan efisiensi

    MTTD (Detection)

    Jam

    5 menit

    Dari jam ke menit

    MTTA (Pengakuan)

    Hari

    35 menit

    Dari hari ke menit

    MTTR (Respons)

    Hari / Minggu

    90 menit

    Dari minggu/hari ke kurang dari dua jam

    Detail metrik

    • MTTD

      • Definisi: Waktu rata-rata sejak serangan terjadi hingga pertama kali terdeteksi oleh sistem.

      • Efisiensi Agentic SOC: 5 menit

      • Metode tradisional: Jam

      • Keunggulan inti: Agentic SOC mengurangi waktu deteksi ancaman dari jam menjadi menit, secara signifikan memperpendek dwell time ancaman dalam sistem dan menciptakan jendela kritis untuk respons cepat.

    • MTTA

      • Definisi: Waktu rata-rata sejak insiden terdeteksi hingga dikonfirmasi sebagai ancaman nyata oleh tim keamanan.

      • Efisiensi Agentic SOC: 35 menit

      • Metode tradisional: Hari

      • Keunggulan inti: Setelah insiden terjadi, Agentic SOC secara otomatis melakukan investigasi dan pelacakan ancaman, mengurangi waktu analisis manual dari hari menjadi kurang dari 35 menit, sehingga memungkinkan validasi cepat terhadap ancaman nyata.

    • MTTR

      • Definisi: Waktu rata-rata sejak ancaman dikonfirmasi hingga sistem sepenuhnya diperbaiki dan dipulihkan.

      • Efisiensi Agentic SOC: 90 menit

      • Metode tradisional: Hari atau minggu

      • Keunggulan inti: Melalui playbook otomatis yang telah ditentukan, Agentic SOC mengeksekusi aksi kritis dari konfirmasi hingga respons dalam hitungan detik. Hal ini mengurangi waktu respons keseluruhan dari hari menjadi 90 menit, membebaskan tim keamanan dari tugas-tugas repetitif yang membosankan agar dapat fokus pada analisis ancaman lebih mendalam dan memperkuat arsitektur pertahanan.

    Produk dan log yang didukung

    Agentic SOC mendukung log dari vendor seperti Alibaba Cloud, Huawei Cloud, Tencent Cloud, Fortinet, Chaitin, dan Sangfor secara default, serta memungkinkan integrasi produk kustom.

    Untuk detail kebijakan ingesti default, sumber data, dan aturan normalisasi yang disediakan oleh Agentic SOC, lihat Konsol.

    Penyedia layanan cloud

    Layanan cloud

    Jenis log

    Alibaba Cloud

    Security Center

    • Peringatan pertahanan jaringan, log pemeriksaan konfigurasi platform cloud, log garis dasar, peringatan keamanan, log kerentanan, peringatan Application Protection (RASP), log Cloud Security Posture Management (CSPM)

    • Snapshot akun, snapshot jaringan, snapshot proses

    • Log kegagalan logon host, log permintaan DNS, log aktivitas logon, log mulai proses, log koneksi jaringan, log serangan brute-force

    Web Application Firewall (WAF)

    Log WAF semua/diblokir/diblokir dan diamati, log anti-bot semua, log peringatan insiden keamanan API, log risiko API, log peringatan WAF

    Cloud Firewall

    Log peringatan Cloud Firewall, log lalu lintas Cloud Firewall, log NDR-HTTP, log NDR-DNS, log peringatan insiden NDR

    Anti-DDoS

    Log lengkap Anti-DDoS

    Bastionhost

    Log Bastionhost

    CDN

    Log aliran CDN

    Edge Security Acceleration (ESA)

    Log akses pengguna DCDN, log WAF DCDN yang diblokir

    API Gateway

    Log API Gateway

    Container Service for Kubernetes (ACK)

    Log audit K8s

    PolarDB

    Log audit SQL PolarDB-X 1.0, log audit SQL PolarDB-X 2.0

    ApsaraDB for MongoDB

    Log audit MongoDB

    ApsaraDB RDS (Relational Database Service)

    Log audit SQL RDS

    Virtual Private Cloud (VPC)

    Log aliran VPC

    Elastic IP Address (EIP)

    Log Elastic IP

    Server Load Balancer (SLB)

    Log akses ALB, log akses CLB

    Object Storage Service (OSS)

    Log akses OSS

    ActionTrail

    Log event ActionTrail

    Config

    Log audit Config

    Apsara File Storage NAS

    Log operasional NFS NAS

    Tencent Cloud

    Web Application Firewall

    Log peringatan Web Application Firewall Tencent Cloud

    Cloud Firewall

    Log peringatan Cloud Firewall Tencent

    Huawei Cloud

    Web Application Firewall

    Log peringatan Web Application Firewall Huawei Cloud

    Cloud Firewall

    Log peringatan Cloud Firewall Huawei Cloud

    Azure

    Microsoft Defender for Endpoint

    Log peringatan endpoint

    Microsoft Entra ID

    Log audit, log sign-in

    Activity Log

    Log audit

    SQL Database

    Log audit SQL Server

    AWS

    CloudTrail

    Log CloudTrail

    Redshift

    Log audit Redshift

    GuardDuty

    Log peringatan temuan GuardDuty

    PostgreSQL on Amazon RDS

    Log event PostgreSQL

    Volcengine

    Security Center

    Log peringatan HIDS

    Fortinet

    Fortinet Firewall

    Log peringatan Fortinet Firewall, log aliran Fortinet Firewall, log audit Fortinet

    Chaitin

    Chaitin WAF

    Log peringatan Chaitin WAF, log aliran Chaitin WAF

    Microsoft

    Endpoint event Logs

    Log event keamanan Windows

    Sangfor

    aES Unified Endpoint Security Management System (EDR)

    Log peringatan Endpoint Detection and Response

    Hillstone Networks

    Hillstone Networks Firewall

    Log peringatan Hillstone Networks Firewall

    Das-Security

    Das-Security Full-Traffic Security Computing and Analysis Platform

    Log peringatan produk Das-Security Full-Traffic Security Computing and Analysis Platform

    SkyGuard

    DLP

    Log peringatan DLP

    Microsoft Cloud

    Microsoft Entra ID

    Log audit Microsoft Entra ID, log audit sign-in Microsoft Entra ID

    ThreatBook

    OneSec

    Log peringatan OneSec

    Cisco

    Cisco Firepower Firewall

    Log peringatan firewall

    Palo Alto Networks

    Next-Generation Firewall

    Log peringatan firewall

    Cortex XDR

    Log peringatan Palo Alto Cortex, log peringatan terkait endpoint

    Panorama

    Log produk Panorama

    EG Cloud

    Polaris

    Log akses jaringan Layer-4 internal, log audit data

    Custom Vendor

    Custom Product

    Log peringatan firewall, log lalu lintas firewall, log peringatan WAF, log lalu lintas WAF

    Informasi peningkatan versi

    • Akun yang mengaktifkan Agentic SOC pada atau setelah 3 April 2025 akan disediakan pada arsitektur terbaru.

    • Arsitektur Agentic SOC 2.0 dibangun di atas Simple Log Service (SLS), yang menyederhanakan ingesti data. Arsitektur ini menggunakan format log standar untuk mengintegrasikan data dari cloud pihak ketiga dan produk keamanan on-premises secara cepat.

    • Untuk perbandingan detail perbedaan utama antara Agentic SOC 2.0 dan Agentic SOC 1.0, lihat Perbedaan antara Agentic SOC 2.0 dan 1.0.

    FAQ

    Bagaimana perbedaan Agentic SOC dengan SIEM tradisional?

    Meskipun SIEM tradisional dirancang untuk lingkungan on-premises, Agentic SOC adalah platform cloud-native yang menawarkan beberapa keunggulan utama:

    • Integrasi cloud-native: Agentic SOC terintegrasi dengan berbagai produk dari Alibaba Cloud dan penyedia cloud utama lainnya. Platform ini memahami aset cloud, konfigurasi, dan topologi jaringan, sehingga memungkinkan analisis berbasis konteks.

    • Kemampuan SOAR bawaan: Platform ini mencakup mesin Security Orchestration, Automation, and Response (SOAR) terintegrasi. Agentic SOC tidak hanya mendeteksi dan menganalisis ancaman, tetapi juga mengotomatiskan remediasi dengan menggunakan playbook untuk mengoordinasikan aksi di seluruh infrastruktur cloud Anda, menutup siklus dari deteksi hingga respons.

    • Skenario bawaan: Platform ini menyediakan banyak aturan deteksi dan playbook respons siap pakai untuk skenario serangan cloud umum, seperti cryptomining, ransomware, dan intrusi web, yang siap digunakan segera.