All Products
Search

This Product

    Security Center:Aturan deteksi

    Document Center

    Security Center:Aturan deteksi

    Last Updated:Jun 04, 2026

    Agentic SOC menggunakan aturan deteksi bawaan untuk menganalisis alert dan log yang diingest, merekonstruksi rantai serangan dan garis waktu, serta menghasilkan alert teragregasi dan event keamanan terperinci. Anda juga dapat membuat aturan deteksi kustom guna membangun sistem deteksi ancaman yang disesuaikan dengan kebutuhan bisnis Anda.

    Ikhtisar

    Fitur manajemen aturan di Agentic SOC menganalisis log yang distandardisasi atau menjalankan playbook bawaan untuk menghasilkan alert analisis teragregasi dan alert analisis kustom. Fitur ini kemudian membuat insiden keamanan dari alert tersebut menggunakan metode seperti komputasi graf, transmisi langsung alert, dan agregasi tipe yang sama guna membantu Anda merespons ancaman. Manajemen aturan mendukung jenis konten aturan berikut untuk menghasilkan alert dan insiden keamanan:

    • Sintaks SQL: Menggunakan kueri SQL untuk melakukan analisis korelasi pada log dalam cakupan tertentu, mencakup penyaringan log, pencocokan pola, dan statistik berbasis jendela guna mendeteksi alert serta menghasilkan insiden keamanan.

    • Playbook: Memanggil API layanan cloud dan mengikuti alur kerja yang telah ditentukan untuk mendeteksi alert serta menghasilkan insiden keamanan. Metode ini biasanya digunakan untuk peringatan status bisnis.

    Jenis aturan

    Jenis aturan

    Deskripsi

    Predefined

    Aturan predefined menyediakan deteksi ancaman siap pakai. Aturan ini menganalisis log yang telah diingest ke dalam Agentic SOC dan berada dalam cakupan efektif aturan tersebut. Ketika suatu aturan cocok, alert keamanan yang dihasilkan akan ditampilkan pada tab Aggregate and Analyze Alerts di halaman Agentic SOC > Alert. Aturan predefined menggunakan komputasi graf untuk mengagregasi alert yang memiliki aset atau IOC yang sama ke dalam satu insiden keamanan. Proses agregasi ini berlaku untuk semua alert kecuali alert analisis kustom.

    Custom

    Aturan custom memungkinkan Anda menentukan logika deteksi sendiri. Untuk membantu Anda memulai, Agentic SOC menyediakan templat aturan untuk skenario deteksi ancaman kompleks. Anda dapat membuat aturan custom berdasarkan sintaks SQL atau playbook.

    Alert keamanan yang dihasilkan dari aturan custom ditampilkan pada tab Custom Alert Analysis di halaman Agentic SOC > Alert. Aturan custom menghasilkan insiden keamanan dengan menggunakan metode transmisi langsung alert atau agregasi tipe yang sama.

    Metode pembuatan insiden

    • Komputasi graf: Mengagregasi alert yang memiliki aset atau IOC yang sama ke dalam satu insiden keamanan. Metode ini diterapkan pada semua alert kecuali alert analisis kustom.

    • Transmisi langsung alert: Menghasilkan satu insiden keamanan untuk setiap alert dari aturan analisis.

    • Agregasi tipe yang sama: Mengagregasi semua alert dari aturan analisis yang sama ke dalam satu insiden keamanan.

    Ketersediaan

    Saat Anda mengaktifkan layanan Agentic SOC, model penagihan dan item penagihan yang Anda pilih menentukan fitur manajemen aturan yang tersedia. Untuk detailnya, lihat Beli dan aktifkan Agentic SOC.

    • Langganan:

      • Hanya membeli Log Ingestion Traffic: Aturan Predefined dan Custom, yang hanya mendukung log yang distandardisasi menggunakan "Scan Query".

        Catatan

        Jika Anda juga membeli fitur Log Management dengan model bayar sesuai penggunaan, semua aturan custom didukung.

      • Membeli Log Ingestion Traffic dan Log Storage Capacity: Aturan Predefined dan Custom.

      • Pembelian hanya Log Storage Capacity: Tidak didukung.

    • Bayar sesuai penggunaan: Aturan Predefined dan Custom, yang hanya mendukung log yang distandardisasi menggunakan "Scan Query".

      Catatan

      Jika Anda juga membeli fitur Log Management dengan model bayar sesuai penggunaan, semua aturan custom didukung.

    Alur kerja

    Aktifkan atau nonaktifkan aturan yang telah ditentukan

    Aturan predefined diaktifkan secara default. Anda dapat mengaktifkan, menonaktifkan, atau melihat detail aturan predefined, tetapi tidak dapat mengedit atau menghapusnya.

    1. Navigasi ke halaman Agentic SOC > Management > Detection Rules di Konsol Security Center. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Pada tab Predefined, temukan aturan predefined yang diinginkan. Pada kolom Actions, klik Details untuk melihat informasi dasar, pengaturan pembuatan alert, dan pengaturan pembuatan insiden.

    3. Untuk mengaktifkan atau menonaktifkan aturan, klik sakelar Rule Status:.

      Catatan

      Sebagai alternatif, dalam daftar aturan predefined, Anda dapat mengklik Enable atau Disabled pada kolom Enabling Status untuk mengubah status aturan.

      image

    4. Alert yang dihasilkan oleh aturan predefined yang cocok ditampilkan pada tab Aggregate and Analyze Alerts di halaman Agentic SOC > Alert.

    Buat dan aktifkan aturan custom

    1. Buka halaman Security Center console > Agentic SOC > Manage > Detection Rules. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Pada tab Rule Template, klik Create Rule pada kolom Actions templat target. Atau, buka tab Custom dan klik Create Custom Rule.

      Penting

      Membuat aturan dari templat aturan lebih sederhana dan efisien.

    3. Pada panel Create Custom Rule, pada tab Basic Information, masukkan nama dan deskripsi aturan, lalu klik Next.

    4. Pada tab Alert Settings, konfigurasikan cara pembuatan alert.

      Anda dapat melihat alert yang dihasilkan di bawah Custom Alert Analysis pada halaman Agentic SOC > Alert. Item konfigurasi yang tersedia dan nilainya bervariasi tergantung pada isi aturan yang dikonfigurasi. Bagian berikut memberikan detailnya:

      Sintaks SQL

      Metode ini menggunakan SQL untuk melakukan analisis korelasi, seperti penyaringan, pencocokan fitur, dan statistik berbasis jendela, pada log dalam cakupan yang ditentukan guna mendeteksi alert dan menghasilkan event.

      Isi aturan

      Parameter

      Deskripsi

      Rule Body

      Nilai default adalah SQL.

      Log Scope

      Pilih cakupan log yang akan dianalisis oleh aturan. Anda harus menentukan kategori dan struktur standar untuk log tersebut. Anda dapat memilih beberapa struktur log standar.

      Klik tautan Standard Fields untuk melihat deskripsi field log untuk struktur log standar saat ini.

      SQL Statement

      Pernyataan SQL mengkueri catatan event tertentu untuk mengidentifikasi potensi perilaku berbahaya. Untuk informasi lebih lanjut tentang mengonfigurasi pernyataan kueri SQL, lihat topik berikut:

      Untuk informasi lebih lanjut tentang sintaks SQL, lihat SQL analysis syntax and functions.

      Pengaturan penjadwalan

      Saat Anda mengaktifkan aturan custom berbasis SQL, Agentic SOC membuat scheduled SQL job yang sesuai di Log Service (SLS) berdasarkan Scheduling Settings. SLS kemudian menghasilkan multiple execution instances berdasarkan scheduling interval. Untuk detailnya, lihat Manage scheduled SQL jobs dan Query data of scheduled SQL jobs.

      Parameter penjadwalan

      Parameter

      Deskripsi

      Scheduling Interval

      Tentukan frekuensi eksekusi kueri SQL. Metode berikut didukung:

      • Fixed Interval: Nilainya harus dalam rentang 5 menit hingga 24 jam.

      • Cron: Presisi minimum adalah menit, dan formatnya 24 jam. Contoh:

        • 0/5 * * * *: Dieksekusi setiap 5 menit, dimulai dari menit ke-0.

        • 0 0/1 * * *: Dieksekusi setiap jam, dimulai dari pukul 00:00.

        • 0 18 * * *: Dieksekusi setiap hari pukul 18:00.

        • 0 0 1 * *: Dieksekusi pada pukul 00:00 di hari pertama setiap bulan.

      SQL Time Window

      Tentukan rentang waktu log yang akan dikueri untuk setiap instans SQL terjadwal. Nilainya harus dalam rentang 5 menit hingga 24 jam.

      Penting

      Jendela waktu SQL harus lebih besar dari atau sama dengan interval penjadwalan.

      Start Time

      Waktu mulai eksekusi instans SQL terjadwal setelah aturan diaktifkan. Metode berikut didukung:

      • Rule Enabled At: Saat aturan diaktifkan.

      • Specified Time: Waktu spesifik yang Anda tetapkan, akurat hingga menit.

      Parameter eksekusi

      • Waktu penjadwalan pekerjaan: Ditentukan oleh Start Time dan Scheduling Interval. Waktu ini tidak dipengaruhi oleh timeout eksekusi, keterlambatan, atau backfill dari instans sebelumnya.

        Contohnya, jika waktu mulai aturan adalah 10:58:45 pada 16 Mei 2025, dan interval penjadwalan adalah 5 menit, waktu terjadwalnya adalah 10:58:45 pada 16 Mei 2025, 11:03:45 pada 16 Mei 2025, 11:08:45 pada 16 Mei 2025, dan seterusnya.

      • Waktu eksekusi pekerjaan: Waktu aktual saat pekerjaan SQL terjadwal mulai dijalankan. Jika pekerjaan diulang, ini adalah waktu saat percobaan ulang terakhir dimulai.

        Catatan

        Pekerjaan SQL terjadwal dapat mengalami timeout, keterlambatan, atau backfill. Hal ini dapat menyebabkan waktu eksekusi pekerjaan berbeda dari waktu penjadwalan pekerjaan.

      • Rentang waktu kueri SQL: Rentang waktu untuk analisis SQL, ditentukan oleh Waktu penjadwalan pekerjaan dan SQL Time Window. Rentang ini independen dari waktu eksekusi pekerjaan yang sebenarnya. Rentang dihitung sebagai berikut: [Waktu terjadwal dibulatkan ke bawah ke menit - jendela waktu SQL, Waktu terjadwal dibulatkan ke bawah ke menit).

        Contohnya, waktu mulai aturan adalah 10:58:45 pada 16 Mei 2025, interval penjadwalan adalah 5 menit, dan jendela waktu SQL adalah 5 menit.

        Rentang kueri SQL untuk pekerjaan terjadwal pertama adalah sebagai berikut:

        • Waktu penjadwalan: 2025-05-16 10:58:45

        • Rentang waktu kueri: [2025-05-16 10:53:00, 2025-05-16 10:58:00)

        Rentang kueri SQL untuk pekerjaan terjadwal kedua adalah sebagai berikut:

        • Waktu penjadwalan: 2025-05-16 11:03:45

        • Rentang waktu kueri: [2025-05-16 10:58:00, 2025-05-16 11:03:00)

      Pembuatan log alert

      Agentic SOC menghasilkan log alert berdasarkan pengaturan Alert Log Generation. Anda dapat melihat log ini pada halaman Agentic SOC > Log Management.

      Definisi atribut alert

      • Generation Structure: Pilih kategori log untuk alert, seperti Endpoint Detection & Response atau firewall.

        Catatan

        Klik View Standard Fields dalam daftar drop-down untuk melihat detail field untuk tipe log tersebut.

      • Alert Type: Tetapkan tipe spesifik alert yang dideteksi oleh aturan saat ini.

      • Alert Level:

        • Tujuan: Menentukan tingkat risiko peringatan.

        • Nilai yang valid: Information, Low, Medium, High, dan Critical.

      • ATT&CK Phase

        • Tujuan: Mengaitkan perilaku serangan yang dideteksi oleh aturan dengan fase dan teknik serangan yang sesuai.

        • Konfigurasi:

          • Klik + Add Attack Phase untuk memetakan beberapa fase serangan.

          • Dalam setiap fase serangan, Anda dapat memilih beberapa teknik serangan.

        • Batas: Anda dapat memilih maksimal 5 teknik serangan di seluruh fase.

      Entity Mapping

      Mengonversi field tidak terstruktur dalam hasil kueri, seperti alamat IP atau nama file, menjadi objek entity terstruktur. Proses ini memungkinkan sistem mengagregasi semua aktivitas terkait untuk suatu entitas, membangun profil ancaman, dan meningkatkan efisiensi analisis.

      Prosedur

      1. Pilih tipe entitas

        • Dari daftar drop-down, pilih tipe entitas yang akan dipetakan, seperti host, file, alamat IP, atau proses.

        • Klik Add Entity Mapping untuk mengonfigurasi beberapa tipe entitas.

      2. Petakan properti entitas

        • Konfigurasikan properti untuk setiap entitas. Properti dibagi menjadi dua kategori:

          • Properti wajib: Pengidentifikasi unik untuk entitas. Misalnya, properti wajib untuk entitas alamat IP adalah alamat itu sendiri.

          • Properti opsional: Informasi tambahan untuk entitas. Misalnya, Anda dapat mengaitkan hostname dengan entitas alamat IP sebagai properti opsional.

        • Klik Add Entity Attribute Mapping untuk menetapkan beberapa properti untuk suatu entitas.

      3. Tetapkan nilai properti

        • Berikan nilai untuk setiap properti yang dipilih.

        • Format: Dua format didukung:

          • Referensi variabel: $field_name$ (Mereferensikan field dari hasil kueri).

          • Konstanta: Nilai string tetap yang Anda masukkan langsung.

      Contoh:

      image

      Alert Enrichment

      Anda dapat menghasilkan nama dan deskripsi alert secara dinamis dengan mereferensikan field kueri sebagai variabel.

      • Alert Name:

        • Panjang dan format: Panjang maksimum adalah 50 karakter.

        • Format referensi: $SQL_query_returned_field$.

        • Default (jika dibiarkan kosong): Rule Name digunakan.

        • Contoh: Serangan jaringan multi-tipe frekuensi tinggi dari $src_ip$ terdeteksi.

      • Deskripsi alert:

        • Panjang: Panjang maksimum adalah 1.000 karakter.

        • Format referensi variabel: $SQL_query_returned_field$.

        • Default (jika dibiarkan kosong): Rule Description digunakan.

        • Contoh: Alert dari: $product_code$, serangan jaringan dari $src_ips$ terdeteksi, aset terdampak meliputi: $dst_ips$.

      Penting

      Jika konten akhir yang dihasilkan setelah substitusi variabel melebihi batas panjang, bagian yang melebihi akan dipotong secara otomatis.

      Supresi Peringatan

      Pengaturan Alert Suppression membatasi jumlah alert keamanan yang dihasilkan tetapi tidak memengaruhi pembuatan atau pengiriman log alert.

      Agentic SOC mengelompokkan alert berdasarkan semua kombinasi nilai field kondisi penekanan. Maksimal 100 alert keamanan dapat dihasilkan untuk setiap kelompok dalam jendela penekanan. Catatan yang cocok yang melebihi batas ini akan ditekan.

      Parameter

      Deskripsi

      Suppression Window

      • Suppression Window menetapkan jendela waktu untuk menghitung alert.

      • Jendela penekanan dimulai saat aturan menghasilkan log alert pertama.

      • Nilainya harus dalam rentang 5 menit hingga 24 jam.

      Catatan

      Asumsikan bahwa suatu aturan menghasilkan log alert pertamanya pada pukul 10:58:45 tanggal 16 Mei 2025, dan jendela penekanan diatur ke 10 menit. Jendela penekanan pertama adalah dari 10:58:45 hingga 11:08:45, yang kedua dari 11:08:45 hingga 11:18:45, dan seterusnya.

      Suppression Condition

      • Masukkan nama kolom atau alias yang didefinisikan dalam klausa SELECT pernyataan SQL. Jika tidak dikonfigurasi, sistem menggunakan field rule_id dari aturan analisis custom sebagai kondisi penekanan secara default.

      • Agentic SOC mengelompokkan alert berdasarkan semua kombinasi nilai field kondisi penekanan.

        Contohnya, jika Anda memiliki dua field, a dan b, sebagai kondisi penekanan, dengan himpunan nilai a adalah {1,2} dan himpunan nilai b adalah {3,4}, total empat kombinasi dibuat: {1,3}, {1,4}, {2,3}, dan {2,4}. Setiap kombinasi merupakan satu kelompok.

      • Maksimal 100 alert keamanan dapat dihasilkan untuk setiap kelompok dalam jendela penekanan.

      Penting

      Kondisi penekanan bersifat opsional. Jika Anda tidak mengonfigurasi kondisi penekanan, maksimal 100 alert keamanan dapat dihasilkan oleh aturan dalam seluruh jendela penekanan.

      Playbook

      Metode ini memanggil API produk cloud dan menggunakan playbook untuk mengevaluasi kondisi deteksi alert dan pembuatan event. Metode ini biasanya digunakan untuk peringatan status bisnis.

      Catatan

      Jika aturan dibuat dari rule template (berbasis playbook), playbook custom yang sesuai akan dibuat secara otomatis. Anda dapat melihatnya pada tab Custom Playbooks di halaman Agentic SOC > Response Rules.

      Isi aturan

      Parameter

      Deskripsi

      Rule Body

      Pilih Script.

      Playbook Name

      • Jika Anda membuat aturan dari rule template (berbasis playbook), Anda dapat mengubah nama playbook, tetapi harus unik.

      • Jika Anda membuat aturan dengan mengklik Create Custom Rule pada tab Custom, pilih playbook dari daftar drop-down.

        Penting

        Hanya playbook yang memenuhi semua kondisi berikut yang muncul dalam daftar drop-down:

        • Tipe playbook adalah custom.

        • Status playbook adalah published.

        • Tipe parameter input node awal playbook harus Custom.

        • Playbook tidak dikaitkan dengan aturan analisis dan deteksi lainnya.

      Playbook Description

      • Jika Anda membuat aturan dari rule template (berbasis playbook), Anda dapat memodifikasi deskripsinya.

      • Jika Anda membuat aturan dengan mengklik Create Custom Rule pada tab Custom, deskripsi playbook target dari orkestrasi respons diambil secara otomatis dan tidak dapat dimodifikasi.

      Pengaturan parameter

      Anda hanya perlu mengonfigurasi parameter saat membuat aturan dari rule template (berbasis playbook). Playbook yang berbeda memerlukan parameter yang berbeda. Anda dapat mengklik ikon image di samping parameter untuk melihat definisi dan petunjuk konfigurasinya.

      Otorisasi

      Anda hanya perlu mengonfigurasi otorisasi saat membuat aturan dari rule template (berbasis playbook).

      • Execution Role: Jika Anda belum membuat peran, klik Go to RAM Console to Create Role. Pada halaman otorisasi cepat RAM, klik Confirm Authorization. Peran bernama AliyunSiemSoarExecutionDefaultRole akan dibuat secara otomatis.

        Catatan

        Jika Anda tidak memiliki izin untuk membuat peran, hubungi administrator RAM (Pengguna RAM dengan izin manajemen resource atau Akun Alibaba Cloud Anda) untuk membuat peran dan melampirkan kebijakan kepercayaan di Konsol RAM. Untuk detailnya, lihat Create a RAM role for a trusted Alibaba Cloud service. Konfigurasinya sebagai berikut:

        • Entitas Tepercaya: Alibaba Cloud Service.

        • Layanan Tepercaya: cloudsiem.sas.aliyuncs.com.

        • Nama Peran: AliyunSiemSoarExecutionDefaultRole

      • Access Policy: Sistem mencantumkan kebijakan izin yang diperlukan untuk menjalankan playbook berdasarkan templat yang dipilih. Jika kebijakan yang diperlukan belum dilampirkan, klik Modify Policy, pilih kebijakan yang belum diberikan, lalu klik Authorize in RAM Console. Selesaikan otorisasi pada halaman otorisasi cepat RAM.

        Penting

        Jika Anda tidak memiliki izin yang diperlukan, hubungi administrator RAM (Pengguna RAM dengan izin manajemen resource atau Akun Alibaba Cloud Anda) untuk melampirkan kebijakan izin yang diperlukan ke peran AliyunSiemSoarExecutionDefaultRole. Untuk detailnya, lihat Manage the permissions of a RAM role.

      Pengaturan penjadwalan

      Untuk aturan custom yang isi aturannya berupa playbook, setelah aturan diaktifkan, Agentic SOC membuat tugas playbook terjadwal berdasarkan Scheduling Settings.

      Catatan

      • Jika tugas terjadwal gagal, sistem akan mencoba ulang sekali setelah 30 detik. Jika percobaan ulang juga gagal, tugas dihentikan dan menunggu siklus terjadwal berikutnya.

      • Anda dapat melihat catatan eksekusi playbook pada halaman detail playbook custom di modul Response Rules.

      Parameter

      Deskripsi

      Scheduling Interval

      Tentukan interval waktu eksekusi playbook. Metode berikut didukung:

      • Fixed Interval: Nilainya harus dalam rentang 5 menit hingga 24 jam.

      • Cron: Presisi minimum adalah menit, dan formatnya 24 jam. Contoh:

        • 0/5 * * * *: Dieksekusi setiap 5 menit, dimulai dari menit ke-0.

        • 0 0/1 * * *: Dieksekusi setiap jam, dimulai dari pukul 00:00.

        • 0 18 * * *: Dieksekusi setiap hari pukul 18:00.

        • 0 0 1 * *: Dieksekusi pada pukul 00:00 di hari pertama setiap bulan.

      Start Time

      Waktu mulai eksekusi playbook setelah aturan diaktifkan. Metode berikut didukung:

      • Rule Enabled At: Saat aturan diaktifkan.

      • Specified Time: Waktu spesifik yang Anda tetapkan, akurat hingga menit.

      Pembuatan log alert

      Agentic SOC menghasilkan log alert berdasarkan pengaturan Alert Log Generation. Anda dapat melihat log ini pada halaman Agentic SOC > Log Management.

      • Generation Structure: Hanya struktur Other Alert Logs yang didukung.

        Catatan

        Klik View Standard Fields dalam daftar drop-down untuk melihat detail field untuk tipe log ini.

      • Alert Type: Tetapkan tipe spesifik alert yang dideteksi oleh aturan saat ini.

      • Alert Level:

        • Tujuan: Menentukan tingkat risiko alert.

        • Nilai yang valid: Information, Low, Medium, High, dan Critical.

      • ATT&CK Phase

        • Tujuan: Mengaitkan perilaku serangan yang dideteksi oleh aturan dengan fase dan teknik serangan yang sesuai.

        • Konfigurasi:

          • Klik + Add Attack Phase untuk memetakan beberapa fase serangan.

          • Dalam setiap fase serangan, Anda dapat memilih beberapa teknik serangan.

        • Batas: Anda dapat memilih maksimal 5 teknik serangan di seluruh fase.

      Supresi Peringatan

      Pengaturan Alert Suppression membatasi jumlah alert keamanan yang dihasilkan tetapi tidak memengaruhi pembuatan atau pengiriman log alert.

      Agentic SOC mengelompokkan alert berdasarkan semua kombinasi nilai field kondisi penekanan. Maksimal 100 alert keamanan dapat dihasilkan untuk setiap kelompok dalam jendela penekanan. Catatan yang cocok yang melebihi batas ini akan ditekan.

      Parameter

      Deskripsi

      Suppression Window

      • Suppression Window menetapkan jendela waktu untuk menghitung alert.

      • Jendela penekanan dimulai saat aturan menghasilkan log alert pertama.

      • Nilainya harus dalam rentang 5 menit hingga 24 jam.

      Catatan

      Asumsikan bahwa suatu aturan menghasilkan log alert pertamanya pada pukul 10:58:45 tanggal 16 Mei 2025, dan jendela penekanan diatur ke 10 menit. Jendela penekanan pertama adalah dari 10:58:45 hingga 11:08:45, yang kedua dari 11:08:45 hingga 11:18:45, dan seterusnya.

      Suppression Condition

      • Opsi daftar drop-down berasal dari field log standar yang sesuai dengan log alert yang dipilih untuk Generation Structure dalam pengaturan Alert Log Generation.

        Catatan

        Pada tab Standardized Rule di halaman Agentic SOC > Integration Settings, klik View Standard Fields untuk melihat detail field log target.

      • Agentic SOC mengelompokkan alert berdasarkan semua kombinasi nilai field kondisi penekanan.

        Contohnya, jika Anda memiliki dua field, a dan b, sebagai kondisi penekanan, dengan himpunan nilai a adalah {1,2} dan himpunan nilai b adalah {3,4}, total empat kombinasi dibuat: {1,3}, {1,4}, {2,3}, dan {2,4}. Setiap kombinasi merupakan satu kelompok.

      • Maksimal 100 alert keamanan dapat dihasilkan untuk setiap kelompok dalam jendela penekanan.

      Penting

      Kondisi penekanan bersifat opsional. Jika Anda tidak mengonfigurasi kondisi penekanan, maksimal 100 alert keamanan dapat dihasilkan oleh aturan dalam seluruh jendela penekanan.

    5. Pada tab Incident Generation Settings, konfigurasikan cara pembuatan insiden keamanan.

      Anda dapat melihat dan menangani insiden yang dihasilkan pada halaman Agentic SOC > Security Incidents.

      Parameter

      Deskripsi

      Generate Event

      Tentukan apakah akan menghasilkan insiden keamanan saat alert cocok dengan aturan.

      Incident Generation Method

      • Transmisi langsung alert: Menghasilkan satu insiden keamanan untuk setiap alert yang dibuat oleh aturan saat ini.

      • Agregasi tipe yang sama: Mengagregasi semua alert yang dihasilkan oleh aturan saat ini ke dalam satu insiden keamanan.

      Aggregation Window

      Anda hanya perlu mengonfigurasi ukuran jendela untuk skenario Incident Aggregation by Type. Nilainya harus dalam rentang 5 menit hingga 24 jam.

      Contohnya, jika jendela agregasi diatur ke 5 menit, semua alert keamanan yang dihasilkan dalam periode 5 menit ini diagregasi ke dalam satu insiden keamanan.

    6. Aktifkan aturan custom: Aturan yang baru dibuat berstatus Disabled secara default. Anda dapat mengubah statusnya pada kolom Status dalam daftar aturan custom.

      Catatan

      Kami menyarankan untuk menguji aturan custom sebelum mengaktifkannya.

    Uji aturan custom (opsional)

    Sebelum mengaktifkan aturan custom, Anda dapat mengubah Enabling Status menjadi Testing dan melihat hasil uji alert untuk memverifikasi output aturan. Sistem menggunakan logika bawaan untuk mengkalibrasi field alert, nilai-nilainya, dan field standar. Anda dapat meninjau hasil kalibrasi di konsol dan menyesuaikan SQL atau playbook aturan untuk memastikan alert yang dihasilkan oleh aturan memenuhi persyaratan kalibrasi.

    Catatan

    • Pengujian bersifat opsional. Hasil kalibrasi tidak mencegah Anda mengaktifkan aturan.

    • Alert yang dihasilkan selama pengujian tidak ditampilkan pada halaman Security Alerts.

    Prosedur:

    1. Pada tab Custom, ubah Enabling Status aturan target menjadi Testing.

    2. Pada kolom aksi aturan target, klik View Alert Test Result.

    3. Pada halaman detail hasil uji, lihat grafik tren alert dan daftar alert. Anda juga dapat mengklik Details pada kolom aksi alert untuk melihat hasil kalibrasinya.

    Lihat dan tangani alert serta insiden keamanan

    Setelah aturan deteksi ancaman berlaku, sistem menghasilkan alert keamanan dan insiden keamanan saat log yang diingest cocok dengan aturan. Anda dapat menanganinya seperti dijelaskan di bawah ini:

    • Di halaman Agentic SOC > Alert, lihat alert yang dihasilkan pada tab Custom Alert Analysis dan Aggregate and Analyze Alerts. Untuk detailnya, lihat security alerts.

    • Di halaman Agentic SOC > Security Incidents, lihat dan tangani insiden yang dihasilkan. Untuk detailnya, lihat security incidents.