Aturan otomatisasi dalam Agentic SOC mengoordinasikan sistem dan layanan keamanan melalui SOAR (Security Orchestration, Automation, and Response), memungkinkan respons otomatis terhadap alert dan insiden.
Latar Belakang
Ahli keamanan menghabiskan banyak waktu untuk tugas rutin seperti tinjauan keamanan serta penanganan trojan dan program penambangan, sehingga mengurangi fokus mereka pada pekerjaan kritis seperti pertahanan jaringan dan riset keamanan.
SOAR mengotomatiskan rutinitas keamanan harian dan mempercepat respons terhadap insiden, sehingga membebaskan ahli keamanan untuk fokus pada ancaman persisten canggih (APTs). Proses rutin yang didokumentasikan sebagai standar eksekusi yang jelas dalam SOAR juga menyediakan praktik terbaik bagi pihak lain.
Istilah
Konsep utama untuk aturan otomatisasi:
|
Istilah
|
Deskripsi
|
|
playbook
|
-
Rencana respons terstruktur yang menentukan langkah-langkah yang harus diambil ketika insiden atau ancaman tertentu terdeteksi.
-
Tetapkan Run Playbook sebagai aksi dari suatu aturan otomatisasi untuk menangani alert dan insiden secara otomatis.
-
Setiap playbook berisi satu proses. Anda dapat menerapkan kontrol versi, menjalankan pengujian input/output, melacak jumlah eksekusi, dan menganalisis hasilnya.
-
Jenis playbook:
-
Predefined Playbook: Playbook siap pakai untuk ancaman keamanan cloud umum. Terapkan langsung dalam aturan otomatisasi. Misalnya, playbook bawaan dapat memblokir alamat IP inbound berisiko tinggi melalui security group Alibaba Cloud.
-
Custom Playbook: Playbook yang ditentukan pengguna dengan konfigurasi komponen fleksibel. Ideal untuk logika kompleks atau skenario bisnis spesifik.
|
|
proses
|
-
Seri tugas atau aksi yang dieksekusi secara berurutan untuk mencapai tujuan tertentu melalui langkah-langkah yang telah ditentukan. Contohnya termasuk proses notifikasi otomatis dan remediasi segera.
-
Buat proses otomatis seperti bagan alir standar. Setiap proses terdiri dari node start, judgement, action, dan end yang dibentuk oleh komponen-komponen yang saling terhubung. Edit proses tersebut secara visual pada Kanvas dan tentukan aksi untuk setiap komponen, seperti aksi menonaktifkan jaringan pada komponen terminal management.
-
Proses dapat dipicu setelah dibuat. Misalnya, pembuatan tiket dapat memicu proses tinjauan tiket otomatis.
|
|
komponen
|
-
Komponen merepresentasikan sistem atau layanan eksternal, seperti WAF, firewall, Ticket System, database, atau layanan notifikasi. Komponen berfungsi sebagai konektor — tidak mengandung logika kompleks, melainkan mendelegasikan tugas ke sistem eksternal yang terhubung.
-
Setelah memilih komponen, Anda harus memilih aset dan aksi untuk komponen tersebut.
-
Komponen diklasifikasikan menjadi komponen orkestrasi proses, komponen orkestrasi dasar, dan komponen penanganan keamanan.
|
|
resource instance
|
Sumber daya spesifik dalam layanan eksternal. Sebagai contoh, jika Anda menggunakan komponen MySQL, Anda harus menentukan database MySQL mana yang akan dihubungkan.
|
|
action
|
Kemampuan yang disediakan oleh komponen. Setiap komponen mendukung beberapa action. Sebagai contoh, komponen terminal management menyediakan action seperti menonaktifkan akun, mengisolasi jaringan, dan mengirim notifikasi.
|