Agentic SOC adalah platform Security Information and Event Management (SIEM) dan Security Orchestration, Automation, and Response (SOAR) yang cloud-native. Platform ini memusatkan pengumpulan log dan analisis ancaman di seluruh lingkungan multi-cloud dan multi-akun, menerapkan aturan deteksi bawaan serta model AI untuk mengidentifikasi ancaman secara otomatis, dan mengoordinasikan respons otomatis melalui playbook — sehingga menghilangkan silodata, keterlambatan dalam penemuan ancaman, dan hambatan respons manual yang umum terjadi dalam operasi keamanan tradisional.
Kasus penggunaan
Manajemen log multi-cloud terpadu
Tantangan: Log keamanan yang tersebar di berbagai lingkungan multi-cloud dan cloud hibrida hadir dalam format yang tidak konsisten, menciptakan silodata. Tanpa tampilan terpadu, pelacakan serangan lintas-cloud dan pelaksanaan audit terpusat memerlukan upaya manual yang signifikan.
Cara Agentic SOC membantu:
Ingesti log terpadu: Mengumpulkan log heterogen dari lingkungan multi-cloud, pihak ketiga, dan on-premises ke dalam satu data lake. Mendukung konektor untuk layanan seperti Amazon S3 dan Apache Kafka.
Penguraian dan normalisasi cerdas: Menggunakan mesin parsing fleksibel dengan pemetaan bidang untuk mengubah log mentah tak terstruktur menjadi model data terstandarisasi dan terpadu secara real time.
Analisis dan pelacakan global: Menjalankan deteksi ancaman terpadu, pelacakan serangan lintas-cloud, dan audit kepatuhan berdasarkan data yang telah dinormalisasi.
Investigasi intrusi web
Tantangan: Setelah aplikasi web dikompromikan, penyerang biasanya merangkai beberapa kerentanan sekaligus. Korelasi manual log dari WAF, keamanan host, dan lalu lintas jaringan untuk merekonstruksi urutan serangan memakan waktu dan rentan kesalahan.
Cara Agentic SOC membantu:
Deteksi dan korelasi otomatis: Agentic SOC mengumpulkan dan menganalisis log Web Application Firewall (WAF) serta log keamanan host. Saat mendeteksi aktivitas seperti unggahan WebShell dan eksekusi proses abnormal, sistem secara otomatis mengorelasikan peringatan individual menjadi satu insiden Web Intrusion yang komprehensif.
Rekonstruksi jalur serangan: Halaman detail insiden menampilkan garis waktu serangan lengkap — mulai dari akses web awal dan eksploitasi kerentanan hingga penulisan WebShell, eksekusi reverse shell, dan eksekusi perintah berbahaya.
Respons otomatis: Jalankan playbook Block Source IP via Cloud Firewall untuk secara otomatis menginstruksikan Cloud Firewall memblokir IP sumber penyerang di tepi jaringan.
Remediasi malware cryptomining
Tantangan: Malware cryptomining mengonsumsi sumber daya komputasi secara signifikan, meningkatkan biaya cloud dan menurunkan performa beban kerja sah. Proses remediasi manual — menemukan proses, menghentikan file, memblokir koneksi ke mining pool, dan memperbaiki titik masuk — lambat dan rentan kesalahan.
Cara Agentic SOC membantu:
Deteksi presisi: Agentic SOC menggabungkan log keamanan host, log aliran VPC, dan intelijen ancaman bawaan untuk mengidentifikasi proses cryptomining seperti
xmrigserta koneksi jaringan anomali ke mining pool, lalu menghasilkan insiden Cryptomining Activity.Analisis berbantuan AI: AI Assistant menganalisis insiden dan merekomendasikan tindakan respons berdasarkan kasus historis dan praktik terbaik — misalnya, "hentikan proses berbahaya dan blokir IP mining pool."
Respons otomatis: Gunakan Kebijakan Respons yang Direkomendasikan untuk menjalankan playbook yang menghentikan proses berbahaya dan mengkarantina file cryptomining.
Cara kerja
Agentic SOC mengikuti alur kerja empat tahap, mulai dari pengumpulan log mentah hingga respons otomatis:
Pengumpulan dan penguraian log: Mengumpulkan log mentah dari produk cloud, perangkat pihak ketiga, dan aplikasi bisnis.
Generasi peringatan: Mengidentifikasi potensi ancaman dari volume log besar menggunakan aturan deteksi bawaan, atau langsung mengambil peringatan asli dari produk pihak ketiga.
Agregasi dan penanganan insiden: Mengorelasikan beberapa peringatan yang menggambarkan serangan yang sama menjadi satu insiden menggunakan aturan korelasi yang dapat dikonfigurasi dan model komputasi graf.
Orkestrasi respons: Memicu playbook secara otomatis berdasarkan kondisi yang telah ditentukan, atau secara manual. Playbook memanggil aksi komponen untuk menghasilkan kebijakan respons dan mengirimkan tugas respons guna remediasi otomatis.
Konsep utama
Konsep | Definisi | Pelajari lebih lanjut |
Entity | Objek inti yang terlibat dalam peringatan atau insiden — seperti alamat IP, nama domain, hash file, proses, host, kontainer, ID sumber daya cloud (misalnya, ID instans ECS), atau akun pengguna. Entity menjadi dasar untuk mengorelasikan peringatan dan merekonstruksi jalur serangan. | — |
Insiden | Event keamanan berpresisi tinggi yang dibuat dengan mengorelasikan beberapa peringatan terkait dari berbagai sumber data, menggunakan aturan bawaan dan model komputasi graf. Agentic SOC mengagregasi peringatan menjadi satu insiden dan secara otomatis merekonstruksi garis waktu serangan. | — |
Kebijakan respons | Menentukan tindakan penanganan untuk suatu entitas dalam skenario tertentu. Setiap aksi respons yang dilakukan pada suatu entitas menghasilkan kebijakan unik. | — |
Tugas respons | Pekerjaan eksekusi individual yang dihasilkan dari kebijakan respons dan ditujukan pada cakupan spesifik. Setiap kebijakan respons untuk suatu entitas dipecah menjadi satu atau beberapa tugas respons berdasarkan cakupan penerapan. | — |
Orkestrasi respons | Proses mengorganisasi dan mengelola tindakan respons keamanan melalui alur kerja otomatis (playbook). Orkestrasi respons menjalankan serangkaian operasi secara otomatis berdasarkan logika yang telah ditentukan untuk menangani insiden. | — |
Playbook | Alur kerja keamanan otomatis yang telah ditentukan, terdiri atas pemicu, kondisi, aksi, dan titik akhir. Mendukung pengeditan grafis drag-and-drop, memungkinkan Anda menyesuaikan logika respons untuk jenis insiden tertentu seperti cryptomining atau ransomware. | — |
Komponen | Antarmuka yang terhubung ke dan mengoperasikan sistem atau layanan eksternal. Komponen merupakan blok penyusun yang menjalankan aksi spesifik dalam playbook. | — |
Instans sumber daya | Instans layanan spesifik yang menjadi target aksi — misalnya, instans Cloud Firewall. | — |
Aksi | Kemampuan spesifik yang dieksekusi oleh komponen. Satu komponen dapat berisi beberapa aksi. Misalnya, komponen manajemen titik akhir mungkin mencakup aksi seperti disable account, isolate network, dan send notification. | — |
Agen | Entitas cerdas yang mempersepsikan lingkungannya, membuat keputusan, dan mengambil tindakan secara otonom. Agentic SOC menggunakan arsitektur kolaboratif multi-Agen hierarkis di mana Team Leader mengoordinasikan tim Agen khusus yang bertanggung jawab atas deteksi ancaman, investigasi insiden, penilaian dampak, dan interaksi pengguna. |
Arsitektur AI Agent
Arsitektur Agentic SOC Agent mengintegrasikan secara mendalam infrastruktur domain data keamanan cloud-native Alibaba Cloud. Dibangun di atas model bahasa keamanan besar, arsitektur ini menyediakan tim ahli keamanan AI Agent end-to-end yang secara otomatis mendeteksi ancaman, melakukan penalaran mendalam, menjalankan investigasi kolaboratif, dan menutup siklus dengan cepat.
Arsitektur tiga lapisan
Lapisan | Komponen | Tanggung jawab |
Lapisan Cloud-Native Engine | Simple Log Service (SLS), mesin deteksi Flink/timed SQL, komputasi graf Igraph, Large Language Model (LLM) Qwen, mesin orkestrasi SOAR | Kemampuan dasar penyimpanan data, komputasi, dan AI |
Platform Manajemen Agent | Dibangun di atas AgentRun | Mengelola siklus hidup Agent, penjadwalan tugas, memori, dan orkestrasi pemanggilan tool |
Lapisan Intelijen Agent | Team Leader plus beberapa tim Agent khusus | Penalaran dan pengambilan keputusan otonom untuk tugas operasi keamanan |
Setiap Agent beroperasi pada kerangka penalaran ReAct: mempersepsikan lingkungan → menalar dan menganalisis → merencanakan aksi → mengeksekusi → mengamati hasil. Siklus ini berulang hingga tugas selesai.
Team Leader dan tim Agent khusus
Arsitektur ini menggunakan model kolaboratif multi-Agent hierarkis:
Team Leader: Dibangun di atas rangkaian model Qwen, Team Leader berfungsi sebagai node pengatur pusat yang bertanggung jawab atas penjadwalan global, dekomposisi tugas, dan pengambilan keputusan kompleks.
Tim Agent khusus: Setiap tim menjalankan tugas secara independen dalam domainnya dan berkolaborasi dengan tim lain.
Tim | Tanggung Jawab | Agen Inti |
Threat Detection | Menjalankan analisis mendalam pada volume besar data heterogen multi-sumber untuk mengidentifikasi ancaman yang dikenal maupun tidak dikenal | Process Chain Analysis Agent, Network Behavior Analysis Agent, File Behavior Analysis Agent, Persistence Detection Agent |
Incident Investigation | Secara otonom menyelesaikan investigasi insiden berdasarkan kerangka ReAct untuk merekonstruksi jalur dan garis waktu serangan | Attack Path Reconstruction Agent, IOC Extraction Agent, Action Validation Agent, Response Agent |
Impact Assessment | Menilai cakupan dan tingkat risiko insiden keamanan | Lateral Movement Investigation Agent, Risk Time Window Inspection Agent, Risk Correlation Analysis Agent |
User Interaction | Berinteraksi dengan personel operasi keamanan untuk memberikan konsultasi dan dukungan analitis | Investigation Deepening Trigger Agent, Inspection Task Setting Agent, Security Consultation (RAG) Agent |
Dukungan Agent bervariasi berdasarkan edisi Agentic SOC. Untuk detail perbedaan versi dan penagihan, lihat Perbedaan antara Agentic SOC Edisi Dasar dan Security Operations Agent.
Manfaat
Agentic SOC mengintegrasikan mesin AI Agent ke dalam inti operasi keamanan, memungkinkan mode auto-pilot cerdas yang dapat diskalakan dari kolaborasi manusia-mesin hingga respons sepenuhnya otomatis.
Deteksi berpresisi tinggi dengan tingkat reduksi peringatan 99,94% Menggabungkan intelijen ancaman global, komputasi graf, dan analisis log cloud-native untuk mengidentifikasi ancaman baru, tidak dikenal, dan sangat menghindar dari volume peringatan besar. Waktu deteksi rata-rata untuk insiden keamanan dipersingkat menjadi hitungan menit.
Respons otomatis dalam hitungan detik dengan cakupan remediasi 95% Menyediakan kebijakan respons sekali klik dan playbook otomatis siap pakai yang dapat disesuaikan tanpa konfigurasi manual. Berkoordinasi dengan produk dan infrastruktur keamanan untuk memberikan analisis dan respons sepenuhnya otomatis. Security Operations Agent — layanan cerdas premium yang didukung mesin Agentic AI — terintegrasi mendalam dengan data dan infrastruktur keamanan native Alibaba Cloud. Layanan ini menggunakan persepsi, penalaran, dan eksekusi otonom untuk menganalisis insiden keamanan secara mandiri dan mempercepat respons.
Rekonstruksi gambaran serangan lengkap dengan pengambilan keputusan berbantuan AI Menggunakan komputasi graf dan model bahasa keamanan besar untuk secara otomatis melacak dan merekonstruksi jalur serta garis waktu serangan lengkap. AI Assistant bawaan merangkum insiden dan memberikan rekomendasi respons yang presisi.
Tampilan global terpadu dengan tingkat penemuan insiden lintas-aset 90% Menyatukan pengumpulan dan pemrosesan data log dari berbagai cloud, akun, dan produk, sehingga mengurangi kompleksitas operasi keamanan cloud hibrida. Manajemen dan audit terpusat memberikan wawasan keamanan global serta menyederhanakan upaya kepatuhan.
Efisiensi operasi keamanan
Mean Time To Detect (MTTD), Mean Time To Acknowledge (MTTA), dan Mean Time To Respond (MTTR) adalah metrik standar untuk mengukur efisiensi operasi keamanan. Data berikut didasarkan pada statistik dari pengguna nyata.
Ikhtisar efisiensi
Metrik | Metode tradisional | Agentic SOC | Keuntungan efisiensi |
MTTD (Deteksi) | Jam | 5 menit | Dari jam menjadi menit |
MTTA (Pengakuan) | Hari | 35 menit | Dari hari menjadi menit |
MTTR (Respons) | Hari / Minggu | 90 menit | Dari minggu/hari menjadi 90 menit |
Detail metrik
MTTD (Mean Time To Detect) Waktu rata-rata sejak serangan terjadi hingga sistem pertama kali mendeteksinya. Agentic SOC mempersingkat deteksi ancaman dari hitungan jam menjadi 5 menit, memperkecil waktu tinggal penyerang dan menciptakan jendela kritis untuk respons cepat.
MTTA (Mean Time To Acknowledge) Waktu rata-rata sejak insiden terdeteksi hingga tim keamanan mengonfirmasinya sebagai ancaman nyata. Agentic SOC secara otomatis menginvestigasi dan melacak ancaman setelah deteksi, mengurangi analisis manual dari hitungan hari menjadi 35 menit.
MTTR (Mean Time To Respond) Waktu rata-rata sejak ancaman dikonfirmasi hingga sistem sepenuhnya diperbaiki dan dipulihkan. Agentic SOC menggunakan playbook otomatis yang telah ditentukan untuk mengeksekusi tindakan kritis dari konfirmasi hingga respons dalam hitungan detik, mempersingkat waktu respons keseluruhan dari hitungan hari menjadi 90 menit — membebaskan tim keamanan dari tugas berulang agar dapat fokus pada analisis ancaman yang lebih mendalam.
Efisiensi pemrosesan Agent
Metrik | Deskripsi |
Tingkat investigasi dan analisis otonom: 81% | AI Agent secara mandiri menyelesaikan analisis insiden Level 1 dan Level 2 — divalidasi terhadap data peringatan lengkap tanpa intervensi manusia |
Laju konvergensi korelasi peringatan dan agregasi acara: 99,94% | Memproses puluhan ribu hingga jutaan peringatan setiap minggu, mengonvergensikannya menjadi ratusan event keamanan |
Generasi laporan keterlacakan insiden: 100x lebih cepat | Menghasilkan laporan rantai serangan lengkap dalam hitungan menit — dibandingkan dengan hitungan jam untuk analisis manual |
Efisiensi onboarding dan standardisasi log: 90% | Menggunakan pengenalan semantik untuk secara otomatis mengurai dan memetakan log dari sumber data heterogen ke model keamanan terpadu, serta menghasilkan SPL dengan sekali klik |
Produk dan log yang didukung
Agentic SOC secara native mendukung log dari vendor termasuk Alibaba Cloud, Huawei Cloud, Tencent Cloud, Fortinet, Chaitin, dan Sangfor. Platform ini juga mendukung ingesti data dari produk kustom.
Untuk detail kebijakan ingesti default, sumber data, dan aturan standardisasi, buka konsol Agentic SOC.
Vendor | Produk | Jenis log |
Alibaba Cloud | Security Center | Log peringatan pertahanan jaringan, log pemeriksaan konfigurasi platform cloud, log garis dasar, log peringatan keamanan, log kerentanan, log peringatan Runtime Application Self-Protection (RASP), dan log manajemen postur keamanan cloud; log snapshot akun, log snapshot jaringan, dan log snapshot proses; log kegagalan login host, log permintaan DNS, log jejak login, log startup proses, log koneksi jaringan, dan log serangan brute-force |
Web Application Firewall (WAF) | Log lengkap WAF, log yang diblokir, log yang diblokir dan diamati, log lengkap anti-crawler, log peringatan event keamanan API, log risiko API, dan log peringatan WAF | |
Cloud Firewall | Log peringatan Cloud Firewall, log lalu lintas Cloud Firewall, log HTTP NDR, log DNS NDR, dan log peringatan event NDR | |
Anti-DDoS | Log lengkap Anti-DDoS Pro dan Anti-DDoS Premium | |
Bastionhost | Log Bastionhost | |
CDN | Log aliran CDN | |
Edge Security Acceleration (ESA) | Log akses pengguna DCDN dan log yang diblokir DCDN WAF | |
API Gateway | Log API Gateway | |
Container Service for Kubernetes (ACK) | Log audit Kubernetes | |
PolarDB | Log audit SQL PolarDB-X 1.0 dan log audit SQL PolarDB-X 2.0 | |
ApsaraDB for MongoDB | Log audit MongoDB | |
ApsaraDB RDS | Log audit SQL RDS | |
Virtual Private Cloud (VPC) | Log aliran VPC | |
Elastic IP Address (EIP) | Log Elastic IP Address | |
Server Load Balancer (SLB) | Log akses ALB dan log akses CLB | |
Object Storage Service (OSS) | Log akses OSS | |
ActionTrail | Log event ActionTrail | |
CloudConfig | Log audit konfigurasi | |
File Storage NAS | Log operasional NFS NAS | |
AI Guardrails | Log Alibaba Cloud AI Security Guardrail | |
Tencent Cloud | Web Application Firewall | Log peringatan Web Application Firewall Tencent Cloud |
Cloud Firewall | Log peringatan Firewall Tencent Cloud | |
Huawei Cloud | Web Application Firewall | Log peringatan Web Application Firewall Huawei Cloud |
Cloud Firewall | Log peringatan Firewall Huawei Cloud | |
Azure | Windows Defender for Endpoint | Log peringatan endpoint |
Azure Active Directory | Log audit Azure Active Directory dan log audit login Azure Active Directory | |
Activity | Log audit | |
SQL Database | Log audit SQL Server | |
AWS | CloudTrail | Log CloudTrail |
Redshift | Log audit Redshift | |
GuardDuty | Log peringatan temuan GuardDuty | |
PostgreSQL on Amazon RDS | Log event PostgreSQL | |
Volcengine | Security Center | Log peringatan HIDS |
Fortinet | Fortinet Firewall | Log peringatan Fortinet Firewall, log aliran Fortinet Firewall, dan log audit Fortinet |
Chaitin | Chaitin WAF | Log peringatan Chaitin WAF dan log aliran Chaitin WAF |
Microsoft | Endpoint event logs | Log event keamanan Windows |
Sangfor | Sangfor Endpoint Secure aES (EDR) | Log peringatan deteksi dan respons endpoint |
Hillstone Networks | Hillstone Networks Firewall | Log peringatan Hillstone Networks Firewall |
Tophant | Tophant Full-Traffic Security Computing and Analysis Platform | Log peringatan produk Tophant Full-Traffic Security Computing and Analysis Platform |
SkyGuard | DLP | Log peringatan DLP |
Threatbook | OneSEC | Log peringatan OneSEC |
Cisco | Cisco Firepower Firewall | Log peringatan firewall |
Palo Alto | Next-Generation Firewall | Log peringatan firewall |
Cortex XDR | Log peringatan Palo Alto Cortex dan log peringatan endpoint | |
Panorama | Log produk Panorama | |
Ege Cloud | Polaris | Log akses jaringan internal Lapisan 4 dan log audit data |
Custom vendor | Custom product | Log peringatan firewall, log lalu lintas firewall, log peringatan Web Application Firewall (WAF), dan log lalu lintas WAF |
Peningkatan versi
Akun yang mengaktifkan Agentic SOC pada atau setelah 3 April 2025 akan disediakan pada arsitektur terbaru.
Agentic SOC 2.0 dibangun di atas kemampuan normalisasi log dan menggunakan kembali kemampuan Simple Log Service (SLS) untuk menyederhanakan ingesti data dari cloud pihak ketiga dan produk keamanan on-premises.
Untuk perbandingan perbedaan utama antar versi, lihat Perbedaan antara Agentic SOC 2.0 dan 1.0.
FAQ
Bagaimana perbedaan Agentic SOC dengan SIEM tradisional?
Agentic SOC dirancang untuk lingkungan cloud-native, dengan tiga perbedaan utama dibandingkan SIEM tradisional:
Integrasi cloud-native: Terintegrasi dengan Alibaba Cloud dan penyedia cloud utama lainnya. Memahami aset cloud, konfigurasi, dan topologi untuk memberikan analisis ancaman berbasis konteks di seluruh lingkungan cloud Anda.
SOAR bawaan: Menyertakan mesin SOAR terintegrasi. Agentic SOC tidak hanya mendeteksi ancaman, tetapi juga menggunakan playbook untuk mengoordinasikan remediasi otomatis di seluruh produk dan infrastruktur cloud, menutup siklus dari deteksi hingga respons.
Analisis berbasis AI: Menggunakan komputasi graf bawaan dan model bahasa keamanan besar untuk secara otomatis mengagregasi peringatan menjadi insiden keamanan dan merekonstruksi garis waktu serangan, meningkatkan efisiensi deteksi ancaman tingkat lanjut.
Skema siap pakai: Menyediakan aturan deteksi dan playbook respons siap pakai untuk skenario serangan cloud umum seperti cryptomining, ransomware, dan intrusi web — tanpa perlu konfigurasi untuk memulai.