All Products
Search

This Product

    Security Center:Menilai dan menangani insiden keamanan Agentic SOC

    Document Center

    Security Center:Menilai dan menangani insiden keamanan Agentic SOC

    Last Updated:Mar 27, 2026

    Sebelum merespons insiden keamanan, Anda harus menilai dampaknya, menganalisis permukaan serangan, mengidentifikasi false positive, dan segera mengambil tindakan penahanan. Anda dapat menggunakan kebijakan penanganan yang direkomendasikan, memperbarui status insiden, menambahkan item ke daftar putih, atau menjalankan playbook untuk menjaga keamanan dan kelangsungan operasional sistem.

    Proses penanganan insiden keamanan

    image

    Penilaian insiden keamanan

    Sebelum menangani insiden keamanan, Anda harus menilai dampaknya, menganalisis permukaan serangan, dan mengidentifikasi false positive agar tidak mengganggu operasi sistem normal. Halaman detail insiden menyediakan informasi yang diperlukan untuk penilaian ini.

    Buka halaman detail insiden

    1. Masuk ke Konsol Security Center.

    2. Pada panel navigasi kiri, pilih Agentic SOC > Security Events.

    3. Pilih rentang waktu untuk menemukan insiden keamanan.

      Penting

      • Halaman Security Events hanya menampilkan insiden yang terjadi dalam 180 hari terakhir.

      • Pada halaman System Settings > Notification Settings, Anda dapat mengaktifkan notifikasi insiden. Fitur ini memungkinkan Anda menggunakan informasi dari notifikasi, seperti nama insiden, untuk menemukan insiden dengan cepat.

    4. Pada kolom Actions, klik Details untuk membuka halaman detail insiden.

    Metode dan contoh penilaian

    • Anda dapat menilai urgensi, cakupan, dan apakah suatu event merupakan false positive dengan menggunakan Security AI Assistant, informasi Overview event, informasi Timeline, Alert, dan informasi Entity.

    • Jika Anda melakukan upgrade Agentic SOC ke Security Operations Agent, sistem secara otomatis menyelidiki insiden keamanan, menghasilkan laporan investigasi, dan memberikan analisis berbasis AI untuk menentukan apakah insiden tersebut merupakan serangan nyata.

    Security AI Assistant

    Security AI Assistant menggunakan agen analisis entitas untuk menilai secara komprehensif tingkat risiko entitas berbahaya dan memberikan rekomendasi penanganan.

    Contoh:

    image

    Investigasi dan analisis AI

    Setelah Anda melakukan upgrade ke Security Operations Agent, sistem menggunakan Agentic AI sebagai mesin intinya. Agen ini terintegrasi secara mendalam dengan data keamanan dan infrastruktur native Alibaba Cloud, serta memanfaatkan kemampuan otonomnya dalam persepsi, penalaran, dan eksekusi untuk menyelidiki insiden keamanan dan menghasilkan investigation report.

    1. Jalankan investigasi insiden oleh AI Agent:

      1. Investigasi awal: Setelah insiden dibuat, Incident Investigation Agent secara otomatis dipicu untuk memulai investigasi.

      2. Investigasi lanjutan: Ketika peringatan baru berkorelasi dengan insiden yang sedang berlangsung, Incident Investigation Agent dipicu kembali untuk melakukan investigasi lanjutan.

    2. Lihat hasil investigasi: Buka halaman detail insiden target dan klik Full Report di bagian atas untuk melihat detail laporan.

      Catatan

      Anda juga dapat melihat hasil analisis langsung di kolom AI Analysis pada daftar insiden keamanan.

      • Kesimpulan Analisis:

        Kesimpulan

        Interval kepercayaan

        Deskripsi

        Likely False Positive

        ≤10%

        AI sangat yakin bahwa aktivitas ini bersifat aman, seperti pemindaian rutin dari alamat IP operasional yang dikenal.

        Tidak Dapat Ditentukan

        30% hingga 60%

        Kurangnya fitur kunci, log lengkap, atau perilaku ambigu menyebabkan AI tidak dapat membuat kesimpulan yang andal karena informasi tidak mencukupi.

        Confirmed Attack

        >85%

        AI telah menemukan rantai bukti multi-sumber yang sesuai dengan Tactics, Techniques, and Procedures (TTPs) yang dikenal, sehingga mengonfirmasi sebagai serangan nyata.

      • Detail serangan: mencakup informasi mengenai aset terdampak, rantai serangan, analisis muatan, timeline serangan, dan nama proses serangan.

    3. Lihat catatan investigasi insiden

      1. Buka halaman detail insiden target dan klik Response Activity di pojok kanan atas.

      2. Pada tab Activity Log, atur filter Response Scenario ke Event Investigation.

      3. Anda dapat melihat catatan Event Investigation beserta ringkasan hasil investigasi untuk insiden tersebut dalam daftar log.

    Diagram rantai event

    Pada tab ini, Anda dapat melihat timeline serangan dan graf provenance. Mesin analitik data besar memproses, mengagregasi, dan memvisualisasikan data untuk membentuk diagram rantai event. Diagram ini membantu Anda mengidentifikasi penyebab event dengan cepat serta merumuskan kebijakan penanganan yang tepat. Klik sebuah node dalam event untuk melihat detailnya, lalu gunakan timeline untuk mengevaluasi apakah event keamanan perlu segera ditangani. Contoh evaluasi sebagai berikut:

    Catatan

    Jika Anda telah membeli Security Operations Agent dalam Agentic SOC, agen investigasi insiden secara otomatis mengekstraksi titik entitas kunci, merekonstruksi perilaku antar entitas menjadi diagram rantai event, dan memberikan penjelasan timeline yang sesuai.

    • Jika timeline menunjukkan bahwa peringatan serangan probing awal berskala kecil dengan cepat berkembang menjadi beberapa peringatan serangan terkait yang berbeda jenis, event keamanan tersebut berisiko tinggi dan harus segera ditangani—terutama jika kecepatan serangan meningkat dan cakupan aset terdampak semakin luas.

    • Jika tidak ada peringatan terkait baru yang muncul dalam timeline selama periode yang cukup lama dan perilaku serangan tidak menunjukkan tanda-tanda penyebaran lebih lanjut, prioritas penanganannya dapat relatif lebih rendah.

    Alert

    Pada tab ini, Anda dapat melihat daftar semua peringatan keamanan yang diagregasikan ke dalam event ini. Gunakan statistik peringatan multidimensi—seperti jumlah peringatan, langkah pertahanan, dan waktu kejadian—untuk menentukan metode serangan, tahap serangan, serta rencana penanganan yang tepat. Berikut adalah contoh penilaian:

    • Banyak peringatan dengan jenis yang sama atau saling terkait dapat mengindikasikan adanya serangan skala besar atau ancaman yang lebih serius.

    • Untuk langkah pertahanan, tentukan apakah tindakan yang diambil telah berhasil memblokir serangan. Jika langkah pertahanan gagal atau tidak mencukupi, urgensi penanganan event meningkat.

    • Jika Waktu kejadian peringatan keamanan terbaru terkonsentrasi dalam periode tertentu, hal ini dapat mengindikasikan bahwa serangan sedang dalam fase aktif.

    Ikhtisar area

    Area ini menyediakan informasi dasar tentang event dan tahap serangan ATT&CK-nya. Gunakan data seperti jumlah aset terdampak, peringatan terkait, waktu kejadian, dan sumber peringatan untuk menilai apakah event keamanan perlu ditangani.

    Contoh penilaian:

    • Jumlah aset terdampak: Jika banyak aset terdampak—termasuk aset bisnis inti seperti server database atau server aplikasi—event tersebut kemungkinan memiliki dampak signifikan dan memerlukan penanganan prioritas tinggi.

    • Jumlah peringatan terkait: Semakin banyak peringatan terkait menunjukkan bahwa event mungkin memiliki cakupan lebih luas dan potensi risiko lebih besar.

    • Waktu kejadian: Event terbaru perlu ditangani lebih cepat daripada event historis karena masih berpotensi menyebabkan dampak berkelanjutan.

    • Sumber peringatan: Kredibilitas dan tingkat keparahan peringatan dapat bervariasi tergantung sumbernya. Peringatan dari modul deteksi otoritatif, seperti modul pemindaian virus khusus, menunjukkan risiko lebih tinggi untuk event yang bersangkutan.

    Entity

    Bagian ini menampilkan entitas yang diekstraksi dari event. Jenis entitas yang didukung meliputi host, file, proses, alamat IP, dan akun host. Anda dapat melihat dan mengelola entitas dari dimensi berikut:

    • Semua entitas: Menampilkan semua entitas yang diekstraksi dari event, termasuk jumlah event terkait, peringatan terkait, dan tugas penanganan dalam 30 hari terakhir, serta memungkinkan operasi seperti menjalankan playbook.

    • Aset terdampak: Menampilkan aset yang terdampak oleh event, sehingga membantu Anda menilai cakupan dampak terhadap aset secara cepat.

    Gunakan informasi entitas terdampak untuk menilai apakah event keamanan perlu ditangani. Berikut adalah contoh penilaian:

    • Dalam detail entitas, Anda dapat melihat informasi dasar entitas alamat IP, intelijen ancaman dari Alibaba Cloud, serta jumlah event, peringatan, dan tugas penanganan terkait dalam 30 hari terakhir. Jika angka-angka tersebut tinggi, hal ini mungkin mengindikasikan bahwa penyerang terus-menerus menggunakan alamat IP tersebut untuk menyerang. Anda disarankan untuk segera menangani alamat IP tersebut, misalnya dengan memblokirnya.

    • Pada tab Affected Asset, jika beberapa aset diserang oleh alamat IP yang sama dalam periode yang sama, hal ini mungkin mengindikasikan adanya serangan terarah dari alamat IP tersebut. Anda perlu menangani alamat IP ini, misalnya dengan memblokirnya.

    Response Activity

    • Fungsionalitas inti: Bagian Response Activity menyediakan catatan lengkap mengenai proses analisis risiko dan penanganan respons, termasuk akses ke kebijakan penanganan utama, tugas, dan Activity Log. Fitur ini memungkinkan anggota tim berbagi progres investigasi dan informasi penanganan selama kolaborasi. Setelah event selesai, Anda dapat meninjau dan merangkum aktivitas event untuk meningkatkan respons di masa depan.

    • Titik akses: Buka halaman detail event dan klik Response Activity di pojok kanan atas.

    Menanggapi Insiden keamanan

    Menangani insiden keamanan

    Metode penanganan

    Deskripsi

    Gunakan kebijakan penanganan yang direkomendasikan

    • Security Center menyediakan metode penanganan event berdasarkan pengalaman pakar keamanan Alibaba Cloud. Metode ini secara kolektif disebut recommended handling policies.

    • Setelah Anda menggunakan recommended handling policy untuk menangani entitas berbahaya dalam insiden keamanan, status insiden dan peringatan terkaitnya diperbarui.

    Whitelist

    • Add Alert to Whitelist: Tambahkan program, alamat IP, atau perilaku tidak berbahaya ke daftar putih agar tidak memicu peringatan.

      Penting

      Add Alert to Whitelist hanya mendukung peringatan Cloud Workload Protection Platform (CWPP), yang mencakup peringatan host dan kontainer.

    • Add to Whitelist (aturan respons otomatis): Jika peringatan yang sama terjadi lagi, statusnya diperbarui menjadi "Whitelisted" dan tidak lagi dikaitkan dengan insiden keamanan.

    Jalankan playbook

    Berdasarkan pengalaman pakar keamanan Alibaba Cloud, Security Center menyediakan playbook bawaan untuk menangani entitas berbahaya. Contohnya termasuk menyelidiki host offline, melakukan pemindaian virus mendalam, dan memblokir alamat IP dengan Web Application Firewall (WAF).

    Update Incident Status

    • Jika insiden merupakan false positive atau Anda telah menangani secara manual semua peringatan keamanan dan entitas terkait, Anda dapat mengubah status insiden menjadi Handled.

    • Untuk Insiden yang telah ditangani, Anda juga dapat mengatur ulang statusnya menjadi Unhandled atau Handling.

    Menangani insiden keamanan secara otomatis

    Fitur orkestrasi aturan respons dari Agentic SOC menangani insiden ancaman keamanan secara otomatis dan batch.

    Gunakan kebijakan penanganan yang direkomendasikan

    Ada dua jenis kebijakan penanganan yang direkomendasikan:

    Perbandingan

    Kebijakan penanganan yang direkomendasikan sistem

    Kebijakan penanganan yang direkomendasikan agen

    Kemampuan inti

    Menggabungkan komputasi graf dan model keamanan besar untuk secara otomatis memilih playbook otomatis bawaan guna menangani insiden keamanan.

    Menganalisis kesimpulan investigasi dari Agen investigasi event, meninjau analisis akar penyebab dan saran penanganan, serta secara otomatis memilih playbook otomatis bawaan yang sesuai.

    Persyaratan versi

    Didukung oleh Agentic SOC Edisi Dasar dan Security Operations Agent.

    Hanya didukung setelah Anda melakukan upgrade ke Security Operations Agent.

    Manajemen kebijakan

    Memungkinkan Anda memodifikasi konten kebijakan, seperti playbook dan periode validitas aksi.

    Tidak memungkinkan Anda memodifikasi konten kebijakan.

    Dasar keputusan

    Pengalaman pakar keamanan Alibaba Cloud

    Analisis cerdas oleh Agen

    Prosedur

    1. Pada halaman Security Events, temukan event target, klik Actions, lalu klik Recommended Response.

      Catatan

      Anda juga dapat membuka halaman detail event dan mengklik tombol Recommended Handling di pojok kiri bawah.

    2. Pada panel Recommended Handling Policy, pilih entitas berbahaya yang ingin Anda tangani.

    3. (Opsional) Modifikasi kebijakan penanganan: Klik Edit di kolom Actions untuk entitas tersebut. Pada panel Edit Policy, modifikasi parameter seperti akun target untuk aturan pemblokiran dan periode validitas aksi.

      Catatan

      Jika Anda melakukan upgrade ke Security Operations Agent, AI Agent secara otomatis memilih playbook yang sesuai dan mengonfigurasi parameter terkait. Tidak diperlukan modifikasi manual.

      • Periode validitas aksi: Periode di mana kebijakan penanganan berlaku. Kebijakan secara otomatis menjadi tidak valid setelah periode ini berakhir.

      • Akun target: Akun saat ini dan akun anggota yang dapat dikelola. Untuk informasi lebih lanjut tentang cara mengelola akun anggota, lihat Manajemen keamanan multi-akun.

    4. Klik Resolve. Pada kotak dialog Update Incident Status, atur Event Status menjadi Handling atau Handled, lalu klik OK.

      Penting

      Setelah menyelesaikan langkah ini, Security Center secara otomatis membuat kebijakan penanganan dan menjalankan tugas penanganan. Jika tugas penanganan gagal, status event berubah menjadi Failed. Jika tidak, status event berubah menjadi status yang Anda tentukan.

      • Handling: Menunjukkan bahwa tindakan lain, seperti remediasi segera, pelacakan sumber, dan perbaikan kerentanan, diperlukan selain operasi penanganan saat ini.

      • Handled: Menunjukkan bahwa tidak diperlukan tindakan lebih lanjut setelah operasi saat ini. Hal ini memiliki efek berikut:

        • Status peringatan terkait berubah menjadi Handled in the security incident.

        • Peringatan berikutnya akan menghasilkan event keamanan baru dan tidak lagi dikaitkan dengan event saat ini.

    Dampak operasi

    • Operasi ini menangani entitas berbahaya dengan berinteraksi dengan produk Alibaba Cloud lainnya untuk respons event, seperti memblokir alamat IP.

    • Jika Anda menggunakan Recommended Handling Policy untuk mengubah status event menjadi Handled, sistem mengubah status semua peringatan terkait yang belum ditangani menjadi Handled in the security incident. Informasi penanganan event juga ditambahkan ke detail peringatan. Peringatan baru tidak lagi dikaitkan dengan event keamanan saat ini dan malah menghasilkan event keamanan baru.

      Penting

      Untuk peringatan "Precision Defense" Cloud Workload Protection Platform (CWPP), status default-nya adalah "Handled" (hanya pertahanan, tanpa notifikasi). Memperbarui status event keamanan tidak memengaruhi status peringatan ini.

    • Jika Anda menggunakan opsi Recommended Handling Policy untuk mengubah status event menjadi Handling, status peringatan terkait tidak terpengaruh. Anda masih dapat mengaitkan peringatan baru dengan event tersebut.

    • Security Center menghasilkan Handling Policies dan Handling Tasks yang sesuai pada halaman Incident Response.

    Daftarkan peringatan ke daftar putih

    Anda dapat mendaftarkan peringatan keamanan ke daftar putih selama penanganan insiden keamanan. Ini mencakup Add to Whitelist (aturan respons otomatis) atau Add Alert to Whitelist. Untuk peringatan pada program normal, seperti paket TCP arah keluar yang mencurigakan yang sebenarnya merupakan interaksi bisnis normal atau perilaku pemindaian yang dicurigai namun merupakan deteksi jaringan normal, pendaftaran daftar putih secara efektif mencegah Security Center menghasilkan peringatan berulang untuk program atau perilaku normal tersebut.

    Perbedaan

    Add to Whitelist (aturan respons otomatis)

    Add Alert to Whitelist

    Peringatan yang didukung

    Semua peringatan.

    Peringatan Cloud Workload Protection Platform (CWPP).

    Dampak terhadap peringatan saat ini

    Tidak berdampak.

    • Status peringatan saat ini berubah menjadi Manually Add to Whitelist.

    • Jika peringatan yang sama terjadi lagi, data peringatan baru tidak dihasilkan, tetapi waktu kejadian terakhir peringatan ini diperbarui.

    Mekanisme aturan

    • Menggunakan kemampuan Response Rules untuk membuat Automated Rules untuk penyaringan peringatan.

    • Kondisi pendaftaran daftar putih diperlukan. Bidang pendaftaran daftar putih berasal dari bidang fitur peringatan dan bidang atribut entitas yang diekstraksi dari peringatan.

    Kondisi pendaftaran daftar putih bersifat opsional. Bidang pendaftaran daftar putih berasal dari bidang informasi peringatan keamanan saat ini, seperti aturan yang menghasilkan peringatan, tag, dan nama gambar.

    Catatan

    Anda dapat melihat informasi ini di bagian More Information pada halaman detail peringatan.

    Add Alert to Whitelist

    Prosedur

    1. Buka halaman detail event. Pada tab Alerts, temukan peringatan yang ingin Anda daftarkan ke daftar putih dan klik Add Alert to Whitelist di kolom Actions.

    2. (Opsional) Anda dapat menambahkan beberapa aturan daftar putih. Klik Create Rule untuk membuat aturan.

      Penting

      • Beberapa aturan memiliki hubungan OR. Artinya, aturan daftar putih dipicu jika salah satu kondisi terpenuhi.

      • Pastikan aturan yang Anda konfigurasi tepat sasaran untuk menghindari cakupan yang terlalu luas. Misalnya, mengatur "Path contains: /data/" mungkin secara tidak sengaja mendaftarkan subdirektori sensitif lainnya ke daftar putih, yang meningkatkan risiko keamanan.

      Setiap aturan memiliki empat bidang yang dapat Anda konfigurasi dari kiri ke kanan:

      1. Bidang informasi peringatan: Pada halaman detail, bagian More Information mencantumkan bidang informasi peringatan yang didukung untuk peringatan saat ini.

      2. Jenis kondisi: Mendukung operasi seperti Regex Match, lebih besar dari, sama dengan, kurang dari, dan contains. Berikut adalah deskripsi beberapa jenis kondisi:

        • Regular expression: Gunakan ekspresi reguler untuk mencocokkan konten dengan pola tertentu secara tepat. Misalnya, untuk mendaftarkan semua konten di bawah folder "/data/app/logs/" ke daftar putih, Anda dapat mengatur aturan "Path matches regex: ^/data/app/logs/.*". Aturan ini akan mencocokkan semua file atau proses di folder tersebut dan subdirektorinya.

        • Contains keyword: Jika Anda mengatur aturan "Path contains: D:\programs\test\", semua event yang jalurnya mengandung folder ini akan didaftarkan ke daftar putih.

      3. Nilai kondisi: Mendukung konstanta dan ekspresi reguler.

      4. Aset yang berlaku:

        • Semua aset: Berlaku untuk semua aset yang ada dan aset baru yang ditambahkan.

        • Hanya untuk aset saat ini: Hanya berlaku untuk aset yang terlibat dalam peringatan saat ini.

    3. Klik OK.

    Dampak operasi

    Peringatan

    Setelah peringatan didaftarkan ke daftar putih, notifikasi untuk peringatan yang sama atau yang cocok tidak akan dikirim lagi. Gunakan fitur ini dengan hati-hati.

    • Untuk peringatan saat ini:

      • Status peringatan saat ini berubah menjadi Manually Add to Whitelist.

      • Jika peringatan yang sama terjadi lagi, peringatan baru tidak dihasilkan. Sebagai gantinya, waktu kejadian terbaru peringatan saat ini diperbarui.

        Apa yang dianggap sebagai peringatan yang sama?

        Peringatan dianggap sama jika melaporkan ancaman keamanan dengan fitur yang sangat konsisten. Misalnya:

        • Untuk peringatan terkait virus, aset, jalur file virus, dan MD5 file virus harus sama.

        • Untuk peringatan logon abnormal, aset dan alamat IP logon harus sama.

    • Untuk peringatan berikutnya:

      • Jika Anda mengatur aturan daftar putih tertentu, Security Center tidak lagi mengaitkan peringatan yang cocok dengan aturan ini ke event keamanan.

      • Ketika peringatan yang cocok dengan aturan daftar putih kustom terjadi lagi, statusnya secara otomatis berubah menjadi Automatically Add to Whitelist, dan notifikasi peringatan tidak dikirim.

    • Untuk peringatan lainnya: Aturan daftar putih hanya berlaku untuk peringatan yang memiliki nama peringatan tertentu dan memenuhi kondisi aturan. Aturan ini tidak memengaruhi peringatan lainnya.

    Batalkan Daftar Putih

    • Batalkan aturan daftar putih otomatis

      Penting

      • Tindakan ini hanya memengaruhi peringatan di masa depan. Peringatan yang cocok dengan aturan tidak akan lagi didaftarkan ke daftar putih secara otomatis.

      • Tindakan ini tidak memengaruhi peringatan yang telah ditangani; statusnya tetap tidak berubah.

      1. Masuk ke . Pada panel navigasi kiri, pilih Detection and Response > Alert.

        Catatan

        Jika Anda telah berlangganan Agentic SOC, pilih Agentic SOC > Alert pada panel navigasi kiri.

      2. Pada tab CWPP, klik Cloud Workload Alert Management di pojok kanan atas dan pilih Alert Settings.

      3. Pada halaman Alert Settings, pada bagian Alert Handling Rule, pilih Automatically Add to Whitelist sebagai metode penanganan.

      4. Temukan aturan target dan klik Delete di kolom Actions untuk membatalkan aturan daftar putih otomatis.

    • Hapus peringatan dari daftar putih

      Penting

      Setelah Anda menghapus peringatan dari daftar putih, peringatan tersebut muncul kembali di daftar peringatan Unhandled, sehingga Anda perlu mengevaluasi dan menanganinya kembali.

      1. Masuk ke . Pada panel navigasi kiri, pilih Detection and Response > Alert.

        Catatan

        Jika Anda telah berlangganan Agentic SOC, pilih Agentic SOC > Alert pada panel navigasi kiri.

      2. Pada tab CWPP, atur filter Handled or Not menjadi Handled.

      3. Temukan peringatan yang ingin Anda hapus dari daftar putih dan klik Remove from Whitelist di kolom Actions.

        Catatan

        Anda juga dapat memilih beberapa peringatan dan mengklik Remove from Whitelist di bagian bawah daftar untuk melakukan penghapusan massal.

      image

    Add to Whitelist (aturan respons otomatis)

    Prosedur

    1. Pada daftar Security Events, temukan insiden target, lalu di kolom Actions, pilih Response > Add to Whitelist.

      Catatan

      Buka halaman detail insiden. Pada tab Alerts, klik Add to Whitelist di kolom Actions untuk peringatan tersebut.

    2. Konfigurasikan aturan seperti dijelaskan di bawah ini, lalu klik OK.

      • Rule Name: Tetapkan nama yang jelas dan mudah dipahami untuk aturan tersebut, seperti "Incident Handling Whitelist_Backdoor Shell".

      • Trigger: Nilai default-nya adalah Alert Occurrence dan tidak dapat diubah.

      • Rule Action: Nilai default-nya adalah Add Alert to Whitelist dan tidak dapat diubah.

      • Konfigurasi lainnya: Untuk informasi lebih lanjut, lihat Configure trigger and execution rules.

    Dampak

    • Insiden saat ini: Status insiden tetap tidak berubah. Untuk mengubahnya, Anda harus secara manual melakukan operasi Update Incident Status.

    • Untuk peringatan saat ini: Tidak berdampak. ​

    • Untuk peringatan berikutnya: Untuk peringatan yang cocok dengan aturan pendaftaran daftar putih (aturan respons otomatis), perubahan sebagai berikut:

      • Jika merupakan peringatan CWPP, status peringatan secara otomatis diperbarui menjadi "Automatically Add to Whitelist". Jika merupakan peringatan Agentic SOC, bidang Add to Whitelist diperbarui menjadi Yes. Dalam kedua kasus, notifikasi peringatan tidak dikirim lagi.

      • Peringatan yang cocok dengan aturan pendaftaran daftar putih (aturan respons otomatis) tidak lagi dikaitkan dengan insiden saat ini.

    Batalkan kebijakan pendaftaran daftar putih

    Jika Anda ingin membatalkan kebijakan pendaftaran daftar putih agar peringatan berikutnya dapat dikaitkan dengan insiden atau menghasilkan insiden baru, ikuti langkah-langkah berikut:

    Catatan

    Untuk Add Event to Whitelist asli, buka halaman Agentic SOC > Security Events dan lakukan operasi di Incident Whitelist Settings di pojok kanan atas.

    1. Buka tab Automated Rules dari Agentic SOC > Response Rules.

    2. Temukan aturan target dan matikan sakelar Enabling Status.

    3. Klik Delete di kolom Actions.

    Update Incident Status

    Prosedur

    1. Pada halaman detail event, klik daftar drop-down Incident Response di pojok kanan atas dan pilih Update Incident Status. Atau, pada halaman Security Events, temukan event target, klik daftar drop-down Response di kolom Actions, lalu pilih Update Incident Status.

    2. Pada kotak dialog Update Incident Status, pilih Handled, Unhandled, atau Handling.

    3. (Opsional) Anda dapat menambahkan catatan, seperti "Ditangani secara manual", "Abaikan", "Did daftar putih secara manual", atau "Tangani ulang".

    Dampak operasi

    • Jika Anda memperbarui status menjadi Handled:

      • Status semua peringatan yang belum ditangani dan terkait dengan event berubah menjadi Handled in the security incident, dan informasi tentang operasi event keamanan ditambahkan ke detail peringatan.

        Penting

        Untuk peringatan "Precision Defense" Cloud Workload Protection Platform (CWPP), status default-nya adalah "Handled" (hanya pertahanan, tanpa notifikasi). Memperbarui status event keamanan tidak memengaruhi status peringatan ini.

      • Peringatan berikutnya tidak lagi dikaitkan dengan event keamanan saat ini dan malah menghasilkan event keamanan baru.

    • Jika status event adalah Unhandled atau Handling, Anda dapat memilih metode penanganan yang berbeda.

    Run Playbook

    Prosedur

    1. Buka halaman detail event. Pada tab Entity, temukan entitas yang ingin Anda tangani.

    2. Di kolom Actions, klik Handle. Pada halaman Handle, konfigurasikan parameter playbook seperti dijelaskan di bawah ini.

      • Playbook: Sistem secara otomatis memilih playbook bawaan yang sesuai berdasarkan jenis entitas.

        Penting

        Jika playbook bawaan tidak memenuhi kebutuhan Anda, Anda dapat membuat playbook kustom menggunakan fitur Response Orchestration dari Agentic SOC.

      • Periode validitas aksi: Durasi di mana playbook dijalankan. Playbook tidak lagi dieksekusi setelah periode ini berakhir.

      • Akun tujuan: Akun saat ini dan akun anggota yang Anda kelola. Untuk informasi lebih lanjut tentang cara mengelola akun anggota, lihat Manajemen keamanan multi-akun.

    3. Klik Resolve.

    Dampak operasi

    Event ditangani berdasarkan proses yang dikonfigurasi dalam playbook, seperti memblokir alamat IP, dan status event berubah menjadi Handled.

    Menangani insiden keamanan secara otomatis

    Untuk menangani insiden keamanan secara otomatis, Anda dapat menggunakan fitur orkestrasi aturan respons yang disediakan oleh Agentic SOC. Fitur ini memungkinkan Anda mengonfigurasi playbook dan aturan respons otomatis untuk menangani insiden ancaman keamanan secara otomatis dan batch. Untuk informasi lebih lanjut, lihat Response rules.

    Mengelola properti event

    Operasi manajemen

    Instruksi

    Update Owner

    Respons insiden keamanan sering melibatkan beberapa tim dan anggota. Untuk memastikan alur kerja yang jelas, tetapkan atau ubah pemilik event pada berbagai tahap proses.

    Update Incident Level

    Sesuaikan tingkat risiko event. Jika tingkat risiko yang ditetapkan secara otomatis terlalu tinggi atau terlalu rendah, Anda dapat mengubahnya secara manual. Hal ini membantu tim Anda memprioritaskan respons dan mengalokasikan sumber daya ke event yang paling mendesak.

    Update Owner

    Prosedur

    1. Buka halaman detail event dan klik Update Owner di bawah Incident Response di pojok kanan atas. Atau, pada halaman Security Events, temukan event, klik Response di kolom Actions, lalu pilih Update Owner.

    2. Pada kotak dialog yang muncul, masukkan informasi berikut dan klik OK.

      • Owner: Pilih akun saat ini atau Pengguna Resource Access Management (RAM) dari akun tersebut.

        Penting

        Pastikan Owner target (Pengguna RAM) memiliki izin yang diperlukan untuk menangani insiden keamanan.

      • Remarks: Masukkan instruksi serah terima, saran, atau catatan lain untuk membantu pemilik baru memahami konteks dan mulai menangani event dengan cepat.

    Dampak operasi

    Setelah operasi selesai, sistem membuat catatan perubahan. Anda dapat melihat detail perubahan ini di Response Activity pada tab Activity Log di halaman detail event.

    Update Incident Level

    Prosedur

    1. Buka halaman detail event. Di pojok kanan atas, di bawah Incident Response, klik Update Incident Level. Atau, pada halaman Security Events, temukan event, klik Response di kolom Actions, lalu pilih Update Incident Level.

    2. Pada kotak dialog yang muncul, modifikasi Incident Severity dan Remarks.

    Dampak operasi

    Setelah Anda mengubah level, sistem mencatat operasi tersebut. Anda dapat melihat detail perubahan ini di Response Activity pada tab Activity Log di halaman detail event.

    Ekspor event keamanan

    Anda dapat mengekspor detail event keamanan ke file Excel lokal. Hal ini membantu berbagai departemen berkolaborasi dalam event keamanan dan memfasilitasi berbagi informasi internal serta pelacakan event.

    1. (Opsional) Pada halaman Insiden Keamanan, atur kondisi filter seperti tingkat risiko event, status, dan waktu kejadian.

    2. Pilih event keamanan yang akan diunduh (maksimal 1.000 catatan), lalu klik ikon image.png di pojok kanan atas daftar event keamanan.

    3. Setelah file diekspor, klik Download untuk menyimpan file ke mesin lokal Anda.

      Catatan

      File yang diekspor berisi tiga tab: daftar catatan event keamanan, daftar aset yang terlibat dalam event keamanan, dan daftar entitas yang terlibat dalam event keamanan.

    Pencegahan risiko

    Untuk mencegah serangan virus di masa depan, lakukan penguatan keamanan pada server Anda. Penguatan keamanan membuat sistem Anda lebih sulit dan mahal bagi penyerang untuk dikompromikan.

    • Upgrade Security Center: Edisi Enterprise dan Ultimate mendukung karantina virus otomatis (pemindaian trojan otomatis) untuk memberikan pertahanan tepat sasaran dan mendukung lebih banyak item pemeriksaan keamanan.

    • Perketat kontrol akses: Buka hanya port layanan yang diperlukan, seperti 80 dan 443. Konfigurasikan daftar putih alamat IP yang ketat untuk port manajemen, seperti 22 dan 3389, serta port database, seperti 3306.

      Catatan

      Untuk server ECS Alibaba Cloud, lihat Manage security groups.

    • Tetapkan kata sandi server yang kompleks: Tetapkan kata sandi kompleks untuk server dan aplikasi Anda yang mengandung huruf kapital, huruf kecil, angka, dan karakter khusus.

    • Upgrade perangkat lunak: Segera perbarui perangkat lunak aplikasi Anda ke versi resmi terbaru. Hindari menggunakan versi lama yang tidak lagi dikelola atau memiliki kerentanan keamanan yang diketahui.

    • Buat backup berkala: Buat kebijakan snapshot otomatis berkala untuk data penting dan disk sistem.

      Catatan

      Untuk server ECS Alibaba Cloud, lihat Membuat kebijakan snapshot otomatis.

    • Perbaiki kerentanan secara tepat waktu: Secara rutin gunakan fitur Vulnerability Fixing dari Security Center untuk memperbaiki kerentanan sistem dan aplikasi penting.

    • Atur ulang sistem operasi server (gunakan dengan hati-hati).

      Jika virus telah menginfiltrasi sistem secara mendalam dan terkait dengan komponen sistem tingkat dasar, kami sangat menyarankan Anda mencadangkan data penting terlebih dahulu, lalu mengatur ulang sistem operasi server. Prosedurnya sebagai berikut:

      1. Buat snapshot untuk mencadangkan data penting di server. Untuk informasi lebih lanjut, lihat Create a snapshot for a disk.

      2. Inisialisasi ulang sistem operasi server. Untuk informasi lebih lanjut, lihat Re-initialize a system disk.

      3. Gunakan snapshot untuk membuat cloud disk. Untuk informasi lebih lanjut, lihat Create a disk from a snapshot.

      4. Pasang cloud disk ke server setelah menginstal ulang sistem operasi. Untuk informasi lebih lanjut, lihat Attach a data disk.

    Kuota dan batasan

    • Retensi data: Halaman penanganan insiden keamanan hanya memungkinkan Anda melihat dan menangani insiden keamanan dari 180 hari terakhir.

    • Detail entitas: Pada halaman detail entitas, jumlah insiden, peringatan, dan tugas penanganan terkait hanya mencakup data dari 30 hari terakhir.

    • Batas ekspor: Anda dapat mengekspor maksimal 1.000 catatan insiden keamanan sekaligus.

    • Sinkronisasi status: Memperbarui status insiden keamanan tidak memengaruhi status peringatan Cloud Workload Protection Platform (CWPP) Precision Defense. Peringatan ini secara default diatur ke Handled (hanya pertahanan, tanpa notifikasi).