全部产品
Search

搜索本产品

    Security Center:Menilai dan menangani insiden keamanan Agentic SOC

    文档中心

    Security Center:Menilai dan menangani insiden keamanan Agentic SOC

    更新时间:Jan 23, 2026

    Anda dapat menangani insiden keamanan dengan menilai dampaknya dan menganalisis permukaan serangan. Proses ini mencakup identifikasi false positive dan pelaksanaan remediasi segera. Anda dapat menggunakan kebijakan respons yang direkomendasikan, memperbarui status insiden, menambahkan insiden ke daftar putih, atau menjalankan playbook guna menjaga keamanan sistem dan memastikan operasi berjalan normal.

    Bagan alir penanganan insiden keamanan

    image

    Penilaian respons event keamanan

    Sebelum menangani insiden keamanan, Anda harus menilai dampaknya dan menganalisis permukaan serangan, termasuk mengidentifikasi false positive untuk menghindari gangguan pada operasi sistem. Halaman detail insiden menyediakan informasi yang diperlukan untuk penilaian tersebut.

    Buka halaman detail insiden

    1. Masuk ke Konsol Security Center.

    2. Pada panel navigasi di sebelah kiri, pilih Agentic SOC > Security Incident.

    3. Pilih Occurred Within untuk menemukan insiden keamanan tersebut.

      Penting

      • Halaman Security Incident hanya menampilkan insiden yang terjadi dalam 180 hari terakhir.

      • Pada halaman System Settings > Notification Settings, Anda dapat mengaktifkan notifikasi insiden. Ini memungkinkan Anda menggunakan informasi dari notifikasi, seperti nama insiden, untuk menemukan insiden tersebut dengan cepat.

    4. Pada kolom Actions, klik tombol Details untuk membuka halaman detail insiden.

    Metode dan contoh penilaian

    Anda dapat menilai urgensi, cakupan, dan apakah suatu event merupakan false positive menggunakan , informasi Overview event, informasi Timeline, Alert, dan informasi Entity.

    Overview area

    Area ini menyediakan informasi dasar tentang event dan tahap serangan ATT&CK-nya. Anda dapat menggunakan data di area ini, seperti jumlah aset terdampak, peringatan terkait, waktu kejadian, dan sumber peringatan, untuk menilai apakah event keamanan tersebut perlu ditangani.

    Contoh penilaian:

    • Jumlah aset terdampak: Jika banyak aset terdampak, termasuk aset bisnis inti seperti server database atau server aplikasi, maka event tersebut kemungkinan besar berdampak signifikan dan memerlukan penanganan prioritas tinggi.

    • Jumlah peringatan terkait: Semakin banyak peringatan terkait menunjukkan bahwa event tersebut mungkin memiliki cakupan lebih luas dan risiko potensial yang lebih besar.

    • Waktu kejadian: Event yang baru terjadi perlu ditangani lebih cepat daripada event historis karena mungkin masih berdampak.

    • Sumber peringatan: Kredibilitas dan tingkat keparahan peringatan dapat bervariasi tergantung sumbernya. Peringatan dari modul deteksi otoritatif, seperti modul pemindaian virus khusus, menunjukkan risiko lebih tinggi untuk event terkait.

    Timeline

    Pada tab ini, Anda dapat melihat timeline serangan dan diagram rantai peristiwa. Mesin analitik data besar memproses, mengagregasi, dan memvisualisasikan data untuk membentuk diagram rantai peristiwa. Diagram ini membantu Anda mengidentifikasi penyebab event dengan cepat dan membuat kebijakan penanganan. Untuk melihat detailnya, lakukan langkah-langkah berikut:

    1. Klik ikon image untuk masuk ke mode layar penuh.

    2. Klik node pada diagram rantai peristiwa untuk melihat detailnya.

    Gunakan timeline untuk menilai apakah event keamanan tersebut perlu ditangani. Berikut adalah contoh penilaian:

    • Jika timeline menunjukkan bahwa peringatan serangan probing awal berskala kecil dengan cepat berkembang menjadi beberapa peringatan serangan terkait yang berbeda jenis, maka event keamanan tersebut berisiko tinggi dan harus segera ditangani—terutama jika laju serangan semakin cepat dan cakupan aset terdampak semakin meluas.

    • Jika tidak ada peringatan terkait baru yang muncul di timeline dalam periode waktu lama dan perilaku serangan tidak menunjukkan tanda-tanda penyebaran lebih lanjut, maka prioritas penanganannya dapat relatif lebih rendah.

    Alert

    Pada tab ini, Anda dapat melihat daftar semua peringatan keamanan yang diagregasi ke dalam event ini. Anda dapat menggunakan statistik peringatan multidimensi, termasuk jumlah peringatan, tindakan pertahanan, dan waktu kejadian, untuk menentukan metode serangan, tahap serangan, dan rencana penanganan yang tepat. Berikut adalah contoh penilaian:

    • Banyak peringatan dengan jenis yang sama atau saling terkait dapat mengindikasikan serangan skala besar atau ancaman yang lebih serius.

    • Untuk tindakan pertahanan, tentukan apakah tindakan yang diambil telah berhasil memblokir serangan. Jika tindakan pertahanan gagal atau tidak memadai, maka urgensi penanganan event meningkat.

    • Jika Waktu kejadian peringatan keamanan terbaru terkonsentrasi dalam periode tertentu, hal ini mungkin mengindikasikan bahwa serangan sedang dalam fase aktif.

    Entity

    Bagian ini menampilkan entitas yang diekstraksi dari event. Jenis entitas yang didukung meliputi host, file, proses, alamat IP, dan akun host. Anda dapat melihat dan mengelola entitas dari dimensi berikut:

    • Semua entitas: Menampilkan semua entitas yang diekstraksi dari event. Anda dapat melihat jumlah event terkait, peringatan terkait, dan tugas penanganan terkait dalam 30 hari terakhir, serta melakukan operasi seperti menjalankan playbook.

    • Aset terdampak: Menampilkan aset yang terdampak oleh event. Hal ini membantu Anda menilai cakupan dampak terhadap aset Anda dengan cepat.

    Gunakan entitas terdampak untuk menilai apakah event keamanan tersebut perlu ditangani. Berikut adalah contoh penilaian:

    • Pada detail entitas, Anda dapat melihat informasi dasar entitas alamat IP, intelijen ancaman Alibaba Cloud-nya, serta jumlah event, peringatan, dan tugas penanganan terkait dalam 30 hari terakhir. Jika angka-angka ini tinggi, hal ini mungkin mengindikasikan bahwa penyerang terus-menerus menggunakan alamat IP tersebut untuk melakukan serangan. Anda harus menangani alamat IP ini, misalnya dengan memblokirnya.

    • Pada tab Affected Asset, jika beberapa aset diserang oleh alamat IP yang sama dalam periode yang sama, hal ini mungkin mengindikasikan serangan bertarget dari alamat IP tersebut. Anda perlu menangani alamat IP ini, misalnya dengan memblokirnya.

    Response Activity

    Bagian Response Activity menyediakan catatan lengkap proses investigasi event, analisis risiko, dan penanganan respons. Bagian ini juga menyediakan akses ke kebijakan penanganan utama, tugas, dan Activity Log. Hal ini memungkinkan anggota tim berbagi progres investigasi dan informasi penanganan selama kolaborasi. Setelah event selesai, Anda dapat meninjau dan merangkum aktivitas event untuk meningkatkan respons di masa depan.

    Merespons insiden keamanan

    Menangani insiden keamanan

    Solusi

    Deskripsi

    Use Recommended Handling Policy

    • Security Center menyediakan metode penanganan event berdasarkan pengalaman pakar keamanan Alibaba Cloud. Metode ini disebut recommended handling policies.

    • Menggunakan recommended handling policy untuk menangani entitas berbahaya dalam event keamanan akan memperbarui status event dan peringatan terkaitnya.

    Catatan

    Jika panel Use Recommended Handling Policy kosong, berarti tidak tersedia kebijakan penanganan bawaan untuk entitas saat ini.

    Add to Whitelist/Add Alert to Whitelist

    • Add Alert to Whitelist: Tambahkan program, IP, atau perilaku yang dikonfirmasi tidak berbahaya ke daftar putih agar tidak lagi memicu peringatan.

      Penting

      Add Alert to Whitelist hanya mendukung peringatan Cloud Workload Protection Platform (CWPP) (yaitu, peringatan host dan kontainer).

    • Add to Whitelist (aturan respons otomatis): Jika peringatan yang sama terjadi lagi, statusnya diperbarui menjadi "Whitelisted" dan tidak lagi dikaitkan dengan event keamanan.

    Run Playbook

    Security Center menyediakan serangkaian playbook bawaan berdasarkan pengalaman pakar keamanan Alibaba Cloud. Gunakan playbook ini untuk menangani entitas berbahaya. Contohnya termasuk investigasi host offline, pemindaian virus mendalam, dan integrasi dengan WAF untuk memblokir IP.

    Update Incident Status

    • Jika suatu event merupakan false positive atau Anda telah menangani secara manual semua peringatan keamanan dan entitas terkait, ubah status event menjadi Handled.

    • Anda juga dapat mengatur ulang status event yang telah ditangani menjadi Unhandled atau Handling.

    Handle security events automatically

    Fitur orkestrasi respons Agentic SOC menangani event ancaman keamanan secara otomatis dalam batch.

    Use Recommended Handling Policy

    Prosedur

    1. Buka halaman detail event. Pada tab Entity, klik tombol Use Recommended Handling Policy.

      Catatan

      Pada halaman Security Incident, untuk event target, klik Response di kolom Actions, atau pilih Use Recommended Handling Policy.

    2. Pada panel Use Recommended Handling Policy, pilih entitas berbahaya yang ingin Anda tangani.

    3. (Opsional) Ubah kebijakan penanganan. Pada kolom Actions untuk entitas, klik Edit. Pada panel Edit Policy, ubah parameter seperti akun tujuan dan periode validitas aksi untuk aturan pemblokiran.

      • Periode validitas aksi: Periode di mana kebijakan penanganan berlaku. Kebijakan secara otomatis menjadi tidak valid setelah periode ini berakhir.

      • Akun tujuan: Akun saat ini dan akun anggota yang dapat dikelola. Untuk informasi lebih lanjut tentang cara mengelola akun anggota, lihat Multi-account security management.

    4. Klik Confirm and update the incident status.. Pada kotak dialog Update Incident Status, atur Event Status menjadi Handling atau Handled, lalu klik OK.

      Penting

      Setelah menyelesaikan langkah ini, Security Center secara otomatis membuat kebijakan penanganan dan menjalankan tugas penanganan. Jika tugas penanganan gagal, status event berubah menjadi Failed. Jika tidak, status event berubah menjadi status yang Anda tetapkan di sini.

      • Handling: Mengindikasikan bahwa selain operasi penanganan saat ini, terdapat tindakan lain terkait penanganan event, seperti remediasi segera, pelacakan sumber, dan perbaikan kerentanan.

      • Handled: Mengindikasikan bahwa tidak ada tindakan penanganan lanjutan selain yang saat ini dilakukan. Dampaknya sebagai berikut:

        • Memperbarui status peringatan terkait menjadi Handled in the security incident.

        • Peringatan selanjutnya akan menghasilkan event keamanan baru dan tidak lagi dikaitkan dengan event saat ini.

    Dampak operasi

    • Operasi ini berinteraksi dengan produk Alibaba Cloud lainnya untuk respons event guna menangani entitas berbahaya, misalnya dengan memblokir alamat IP.

    • Jika Anda Use Recommended Handling Policy untuk mengubah status event menjadi Handled, sistem mengubah status semua peringatan yang belum ditangani dan terkait dengan event tersebut menjadi Handled in the security incident. Informasi penanganan event juga ditambahkan ke detail peringatan. Selanjutnya, peringatan baru tidak lagi dikaitkan dengan event keamanan saat ini. Sebaliknya, peringatan tersebut akan menghasilkan event keamanan baru.

      Penting

      Untuk peringatan "Precision Defense" Cloud Workload Protection Platform (CWPP), status default-nya adalah "Handled" (hanya pertahanan, tanpa notifikasi). Memperbarui status event keamanan tidak memengaruhi status peringatan ini.

    • Jika Anda menggunakan opsi Use Recommended Handling Policy untuk mengubah status event menjadi Handling, status peringatan terkait tidak terpengaruh. Anda masih dapat mengaitkan peringatan baru dengan event tersebut.

    Add to whitelist

    Saat menangani event keamanan, Anda dapat menambahkan peringatan keamanan ke daftar putih. Anda dapat menggunakan dua metode: Add to Whitelist (aturan respons otomatis) atau Add Alert to Whitelist. Sistem dapat menghasilkan peringatan untuk aktivitas program normal. Misalnya, proses mencurigakan yang mengirim paket TCP arah keluar abnormal mungkin merupakan bagian dari interaksi bisnis normal. Perilaku pemindaian yang dicurigai mungkin merupakan pemeriksaan jaringan normal. Menambahkan item-item ini ke daftar putih mencegah Security Center berulang kali menghasilkan peringatan untuk program atau perilaku normal.

    Perbedaan

    Add to Whitelist (aturan respons otomatis)

    Add Alert to Whitelist

    Peringatan yang didukung

    Semua peringatan.

    Peringatan Cloud Workload Protection Platform (CWPP).

    Dampak pada peringatan saat ini

    Tidak berdampak.

    • Status peringatan saat ini berubah menjadi Manually Add to Whitelist.

    • Jika peringatan yang sama terjadi lagi, peringatan baru tidak dibuat. Sebaliknya, waktu kejadian terakhir peringatan saat ini diperbarui.

    Mekanisme aturan

    • Menggunakan fitur SOAR untuk membuat Automatic Response Rule guna memfilter peringatan.

    • Kondisi daftar putih wajib diisi. Bidang daftar putih berasal dari bidang karakteristik peringatan dan properti entitas yang diekstraksi dari peringatan.

    Kondisi daftar putih tidak wajib. Bidang daftar putih berasal dari informasi terkait peringatan keamanan saat ini, seperti aturan yang menghasilkan peringatan, tag, dan nama image.

    Catatan

    Lihat informasi ini di bagian More Information pada halaman detail peringatan.

    Add Alert to Whitelist

    Prosedur

    1. Buka halaman detail event. Pada tab Alert, pilih peringatan yang akan dimasukkan ke daftar putih dan klik Add Alert to Whitelist di kolom Actions.

    2. (Opsional) Tambahkan aturan daftar putih peringatan baru. Anda dapat mengklik Create Rule untuk mengonfigurasi beberapa aturan daftar putih.

      Penting

      • Beberapa aturan memiliki hubungan "OR", artinya aturan berlaku jika salah satu kondisi terpenuhi.

      • Pastikan presisi aturan yang Anda konfigurasi untuk menghindari cakupan yang terlalu luas. Misalnya, mengatur "Path contains: /data/" mungkin secara tidak sengaja memasukkan subdirektori sensitif lainnya ke daftar putih, yang meningkatkan risiko keamanan. ​​

      Setiap aturan memiliki empat kotak konfigurasi dari kiri ke kanan, seperti dijelaskan di bawah ini:

      1. Bidang informasi peringatan: Pada halaman detail, di bawah More Information, Anda dapat melihat bidang informasi peringatan apa saja yang didukung untuk peringatan saat ini.

      2. Jenis kondisi: Mendukung operasi seperti Regex Match, lebih besar dari, sama dengan, kurang dari, dan contains. Beberapa aturan dijelaskan sebagai berikut:

        • Regular expression: Gunakan ekspresi reguler untuk mencocokkan konten dengan pola tertentu secara tepat. Misalnya, untuk memasukkan semua konten di bawah folder "/data/app/logs/" ke daftar putih, Anda dapat mengatur aturan "Path matches regex: ^/data/app/logs/.*". Aturan ini akan mencocokkan semua file atau proses di folder tersebut dan subdirektorinya.

        • Contains keyword: Atur aturan "Path contains: D:\programs\test\". Semua event yang path-nya mengandung folder ini akan dimasukkan ke daftar putih.

      3. Nilai kondisi: Mendukung konstanta dan ekspresi reguler.

      4. Aset yang berlaku:

        • Semua aset: Berlaku untuk aset yang baru ditambahkan dan semua aset yang sudah ada.

        • Hanya untuk aset saat ini: Hanya berlaku untuk aset yang terlibat dalam peringatan saat ini.

    3. Klik OK.

    Dampak operasi

    Peringatan

    Setelah peringatan dimasukkan ke daftar putih, notifikasi untuk peringatan yang sama atau yang cocok tidak akan dikirim lagi. Gunakan fitur ini dengan hati-hati.

    • Untuk peringatan saat ini:

      • Status peringatan saat ini berubah menjadi Manually Add to Whitelist.

      • Jika peringatan yang sama terjadi lagi, peringatan baru tidak akan dibuat. Sebaliknya, waktu kejadian terakhir peringatan saat ini akan diperbarui.

        Apa itu peringatan yang sama?

        Peringatan yang sama mengacu pada ancaman keamanan dengan fitur peringatan yang sangat konsisten. Misalnya:

        • Peringatan terkait virus: Aset yang sama, path file virus, dan MD5 file virus.

        • Login abnormal: Aset yang sama dan alamat IP login.

    • Untuk peringatan selanjutnya:

      • Jika Anda mengatur aturan daftar putih tertentu, Security Center tidak lagi mengaitkan peringatan yang cocok dengan aturan ini ke event keamanan.

      • Ketika peringatan yang cocok dengan aturan daftar putih kustom terjadi lagi, peringatan tersebut secara otomatis ditambahkan ke daftar yang telah ditangani dengan status Automatically Add to Whitelist, dan tidak ada notifikasi peringatan yang dikirim.

    • Untuk peringatan lainnya: Aturan daftar putih hanya berlaku untuk peringatan dengan nama peringatan tertentu yang memenuhi kondisi. Aturan ini tidak memengaruhi peringatan lain yang tidak memiliki aturan yang ditetapkan.

    Batalkan Whitelisting

    • Batalkan aturan daftar putih otomatis

      Penting

      • Tindakan ini hanya memengaruhi peringatan yang dihasilkan selanjutnya. Peringatan yang cocok dengan aturan daftar putih tidak lagi secara otomatis dimasukkan ke daftar putih.

      • Hal ini tidak berdampak pada peringatan yang telah ditangani. Status peringatan tetap tidak berubah.

      1. Masuk ke . Pada panel navigasi di sebelah kiri, pilih Detection and Response > Alert.

        Catatan

        Jika Anda telah membeli layanan Agentic SOC, pada panel navigasi di sebelah kiri, pilih Agentic SOC > Alert.

      2. Pada pojok kanan atas tab CWPP, klik Cloud Workload Alert Management dan pilih Alert Settings.

      3. Pada halaman Alert Settings, pada bagian Alert Handling Rule, atur Metode Penanganan menjadi Automatically Add to Whitelist.

      4. Temukan aturan target dan klik Delete di kolom Actions untuk membatalkan aturan daftar putih otomatis.

    • Batalkan daftar putih untuk peringatan

      Penting

      Setelah Anda membatalkan daftar putih, peringatan tersebut muncul kembali di daftar peringatan Unhandled. Anda harus mengevaluasi ulang dan menangani peringatan tersebut.

      1. Masuk ke . Pada panel navigasi di sebelah kiri, pilih Detection and Response > Alert.

        Catatan

        Jika Anda telah membeli layanan Agentic SOC, pada panel navigasi di sebelah kiri, pilih Agentic SOC > Alert.

      2. Pada tab CWPP, atur filter Handled or Not menjadi Handled.

      3. Temukan data peringatan yang ingin Anda hapus dari daftar putih dan klik tombol Remove from Whitelist di kolom Actions untuk membatalkan daftar putih untuk peringatan saat ini.

        Catatan

        Anda juga dapat memilih beberapa data peringatan dan mengklik tombol Remove from Whitelist di bagian bawah daftar untuk melakukan pembatalan batch.

      image

    Add to Whitelist (aturan respons otomatis)

    Prosedur

    1. Pada daftar Security Incident, temukan event target. Di kolom Actions, klik Add to Whitelist di bawah Response.

      Catatan

      Atau, pada halaman detail event, Anda dapat mengklik tombol Add to Whitelist di bawah Incident Response di pojok kanan atas. Anda juga dapat membuka tab Security Alerts, temukan peringatan keamanan, dan klik Add to Whitelist di kolom Actions.

    2. Konfigurasikan parameter berikut dan klik OK.

      • Rule Name: Tetapkan nama aturan yang jelas dan mudah dipahami, seperti "Event_Handling_Whitelist_Backdoor_Shell".

      • Trigger: Nilai default-nya adalah Alert Trigger. Nilai ini tidak dapat diubah.

      • Rule Action: Nilai default-nya adalah Add Alert to Whitelist. Nilai ini tidak dapat diubah.

      • Untuk informasi tentang pengaturan lainnya, lihat Configure trigger and execution rules.

    Efek

    • Event saat ini: Status event tetap tidak berubah. Untuk mengubah status, Anda harus secara manual melakukan operasi Update Incident Status.

    • Peringatan saat ini: Tidak berdampak.

    • Peringatan selanjutnya: Untuk peringatan yang cocok dengan aturan daftar putih (aturan respons otomatis), perubahan berikut terjadi:

      • Jika peringatan tersebut merupakan peringatan Cloud Workload Protection Platform (CWPP), statusnya secara otomatis diperbarui menjadi Automatically Add to Whitelist. Jika peringatan tersebut merupakan peringatan Agentic SOC, bidang Add to Whitelist diperbarui menjadi Yes. Dalam kedua kasus, notifikasi peringatan tidak lagi dikirim.

      • Peringatan yang cocok dengan aturan daftar putih (aturan respons otomatis) tidak lagi dikaitkan dengan event saat ini.

    Batalkan kebijakan daftar putih

    Untuk membatalkan kebijakan daftar putih dan memungkinkan peringatan selanjutnya dikaitkan dengan event atau menghasilkan event baru, ikuti langkah-langkah berikut:

    Catatan

    Untuk mengelola Add Event to Whitelist asli, buka halaman Agentic SOC > Security Incident dan klik Incident Whitelist Settings di pojok kanan atas.

    1. Buka tab Automatic Response Rule pada halaman Agentic SOC > SOAR.

    2. Temukan aturan target dan matikan sakelar Enabling Status.

    3. Di kolom Actions, klik Delete.

    Run Playbook

    Prosedur

    1. Pada halaman detail event, temukan entitas yang akan ditangani di tab Entity.

    2. Di kolom Actions, klik Run Playbook. Pada halaman konfigurasi Run Playbook, konfigurasikan parameter playbook seperti dijelaskan di bawah ini.

      • Playbook: Sistem secara otomatis mengambil playbook bawaan yang sesuai berdasarkan jenis entitas saat ini.

        Penting

        Jika playbook bawaan tidak memenuhi kebutuhan Anda, Anda dapat menggunakan fitur Response Orchestration yang disediakan oleh Agentic SOC untuk membuat playbook kustom.

      • Periode validitas aksi: Periode di mana playbook dijalankan. Playbook tidak akan dijalankan lagi setelah periode ini berakhir.

      • Akun tujuan: Akun saat ini dan akun anggota yang dapat dikelola. Untuk informasi lebih lanjut tentang cara mengelola akun anggota, lihat Multi-account security management.

    3. Klik OK.

    Dampak operasi

    Event ditangani sesuai proses yang dikonfigurasi dalam playbook (seperti memblokir alamat IP), dan status event diubah menjadi Processed.

    Update Incident Status

    Prosedur

    1. Pada halaman detail event, klik daftar drop-down Incident Response di pojok kanan atas dan pilih Update Incident Status. Atau, pada halaman Security Events, temukan event target, klik daftar drop-down Response di kolom Actions, lalu pilih Update Incident Status.

    2. Pada kotak dialog Update Incident Status, pilih Handled, Unhandled, atau Handling.

    3. (Opsional) Tambahkan catatan, seperti "Saya telah menangani ini secara manual", "Abaikan", "Dimasukkan ke daftar putih secara manual", atau "Tangani ulang".

    Dampak operasi

    • Jika Anda memperbarui status menjadi Handled:

      • Semua peringatan yang belum ditangani dan terkait dengan event diperbarui menjadi status Handled in the security incident, dan informasi tentang operasi event keamanan ditambahkan ke detail peringatan.

        Penting

        Untuk peringatan "Precision Defense" Cloud Workload Protection Platform (CWPP), status default-nya adalah "Handled" (hanya pertahanan, tanpa notifikasi). Memperbarui status event keamanan tidak memengaruhi status peringatan ini.

      • Peringatan selanjutnya tidak lagi dikaitkan dengan event keamanan saat ini. Peringatan tersebut akan menghasilkan event keamanan baru.

    • Jika status event adalah Unhandled atau Handling, Anda dapat memilih metode penanganan yang berbeda.

    Menangani event keamanan secara otomatis

    Anda dapat menangani event keamanan secara otomatis menggunakan fitur orkestrasi respons Agentic SOC. Konfigurasikan playbook dan aturan respons otomatis untuk menangani event ancaman keamanan secara batch. Untuk informasi lebih lanjut, lihat Response orchestration.

    Mengelola properti event

    Operasi manajemen

    Prosedur

    Update Owner

    Respons event keamanan sering melibatkan beberapa tim dan anggota. Untuk memastikan alur kerja yang jelas, tetapkan atau ubah pemilik event pada berbagai tahap proses.

    Update Incident Level

    Sesuaikan tingkat risiko event. Jika tingkat risiko yang ditetapkan secara otomatis terlalu tinggi atau terlalu rendah, Anda dapat mengubahnya secara manual. Hal ini membantu tim Anda memprioritaskan respons dan mengalokasikan sumber daya ke event yang paling mendesak.

    Update Owner

    Prosedur

    1. Buka halaman detail event. Di pojok kanan atas, di bawah Incident Response, klik Update Owner. Atau, pada halaman Security Events, temukan event, klik Response di kolom Actions, lalu pilih Update Owner.

    2. Pada kotak dialog yang muncul, masukkan informasi berikut dan klik OK.

      • Owner: Pilih akun saat ini atau Pengguna Resource Access Management (RAM) di bawah akun tersebut.

        Penting

        Pastikan Owner target (Pengguna RAM) memiliki izin yang diperlukan untuk menangani event keamanan.

      • Remarks: Masukkan instruksi serah terima, saran, atau catatan lainnya. Hal ini membantu pemilik baru memahami konteks dengan cepat dan mulai bekerja.

    Dampak

    Saat operasi selesai, sistem membuat catatan perubahan. Lihat detail perubahan ini di Activity Log pada tab Response Activity di halaman detail event.

    Update Incident Level

    Prosedur

    1. Buka halaman detail event. Di pojok kanan atas, di bawah Incident Response, klik Update Incident Level. Atau, pada halaman Security Events, temukan event, klik Response di kolom Actions, lalu pilih Update Incident Level.

    2. Pada kotak dialog yang muncul, ubah Incident Severity dan Remarks.

    Dampak Operasional

    Setelah Anda mengubah level, sistem mencatat operasi tersebut di log aktivitas event. Lihat detail perubahan ini di Activity Log pada tab Response Activity di halaman detail event.

    Ekspor event keamanan

    Anda dapat mengekspor detail event keamanan ke file Excel lokal. Hal ini membantu berbagai departemen berkolaborasi dalam menangani event keamanan dan memfasilitasi berbagi informasi internal serta pelacakan event.

    1. (Opsional) Pada halaman Security Incident, atur kondisi filter seperti tingkat risiko event, status, dan waktu kejadian.

    2. Pilih event keamanan yang akan diunduh (maksimal 1.000 catatan), lalu klik ikon image.png di pojok kanan atas daftar event keamanan.

    3. Setelah file diekspor, klik Download untuk menyimpan file ke mesin lokal Anda.

      Catatan

      File yang diekspor berisi tiga tab: daftar catatan event keamanan, daftar aset yang terlibat dalam event keamanan, dan daftar entitas yang terlibat dalam event keamanan.

    Pencegahan ancaman

    Untuk mencegah server Anda diserang lagi, Anda harus menerapkan langkah-langkah penguatan keamanan yang diperlukan. Hal ini meningkatkan biaya bagi penyerang dan membuatnya lebih sulit bagi mereka untuk menembus pertahanan Anda.

    • Tingkatkan Security Center: Edisi Enterprise dan Ultimate mendukung isolasi virus otomatis, yang menyediakan pertahanan presisi dan lebih banyak item pemeriksaan keamanan.

    • Perketat kontrol akses: Buka hanya port layanan yang diperlukan, seperti 80 dan 443. Konfigurasikan daftar putih alamat IP yang ketat untuk port manajemen, seperti 22 dan 3389, serta port database, seperti 3306.

      Catatan

      Untuk server ECS Alibaba Cloud, lihat Manage security groups.

    • Tetapkan kata sandi server yang kompleks: Buat kata sandi kompleks yang mengandung huruf kapital, huruf kecil, angka, dan karakter khusus untuk server dan aplikasi Anda.

    • Perbarui perangkat lunak: Segera perbarui aplikasi Anda ke versi resmi terbaru. Hindari menggunakan versi lama yang tidak lagi didukung atau yang memiliki kerentanan keamanan yang diketahui.

    • Lakukan backup berkala: Buat kebijakan snapshot otomatis untuk data penting dan disk sistem.

      Catatan

      Jika Anda menggunakan server ECS Alibaba Cloud, lihat Create an automatic snapshot policy.

    • Perbaiki kerentanan segera: Secara rutin gunakan fitur Vulnerability Fix di Security Center untuk segera memperbaiki kerentanan sistem dan aplikasi penting.

    • Reset sistem server (gunakan dengan hati-hati).

      Jika virus menginfeksi sistem secara mendalam dan mengompromikan komponen sistem dasar, backup data penting lalu reset sistem server. Lakukan langkah-langkah berikut:

      1. Buat snapshot untuk backup data penting di server. Untuk informasi lebih lanjut, lihat Create a snapshot.

      2. Inisialisasi ulang sistem operasi server. Untuk informasi lebih lanjut, lihat Reinitialize a system disk.

      3. Buat disk dari snapshot. Untuk informasi lebih lanjut, lihat Create a data disk from a snapshot.

      4. Pasang disk ke server tempat Anda menginstal ulang sistem operasi. Untuk informasi lebih lanjut, lihat Attach a data disk.

    Kuota dan batasan

    • Retensi data: Halaman Security Event Response memungkinkan Anda melihat dan menangani event dari 180 hari terakhir.

    • Detail entitas: Halaman detail entitas menampilkan jumlah event, peringatan, dan tugas respons terkait dari 30 hari terakhir.

    • Batas ekspor: Satu kali ekspor dapat mencakup maksimal 1.000 catatan event keamanan.

    • Sinkronisasi status: Memperbarui status event keamanan tidak memengaruhi status peringatan 'Precision Defense' Cloud Workload Protection Platform (CWPP). Secara default, peringatan ini diatur ke 'Handled', yang berarti ancaman dipertahankan tetapi tidak ada notifikasi yang dikirim.