Langsung ke konten utama

Managed SOC

Otomasi triase L1 SOC dengan agentic AI

Ringkasnya

Agentic AI menangani triase alert L1 secara paralel: pengayaan konteks, korelasi lintas sumber, dan eskalasi otomatis. Analis fokus ke investigasi penting.

Security monitoring

Sebuah SOC yang beroperasi dengan baik tidak kekurangan data. Yang sering tidak mencukupi adalah waktu untuk memproses data itu secara bermakna. Ketika platform SIEM menghasilkan puluhan ribu alert per minggu dan tim analis terbatas pada delapan hingga dua belas orang yang bekerja bergiliran, perhitungan dasarnya tidak menguntungkan tim. Analis L1 menghabiskan sebagian besar waktunya memeriksa alert yang berakhir dengan satu jawaban: false positive. Lagi. Ini bukan kegagalan manusia, melainkan batas alami dari cara SOC tradisional dirancang.

Agentic AI mengubah perhitungan itu. Bukan dengan menggantikan analis, tetapi dengan mengerjakan bagian yang paling berulang dari pekerjaan mereka: triase awal, pengumpulan konteks, dan penyaringan noise.

Mengapa alert fatigue adalah masalah struktural

Volume alert tumbuh lebih cepat dari kapasitas tim keamanan. Setiap aset baru yang ditambahkan ke jaringan, setiap integrasi SaaS baru, setiap perluasan ke layanan cloud, semuanya berkontribusi pada jumlah event yang harus diproses. Aturan SIEM yang ditulis untuk menangkap perilaku berbahaya tidak otomatis tahu bahwa pola traffic yang terlihat mencurigakan hari ini sebenarnya adalah hasil deployment batch yang dijadwalkan oleh tim operasi.

Hasilnya adalah apa yang di industri keamanan disebut alert fatigue: analis yang telah memeriksa ratusan false positive berturut-turut mulai memperlakukan setiap alert baru dengan skeptisisme yang sama. Pada titik itu, risiko sesungguhnya bukan bahwa analis tidak cukup bekerja keras, melainkan bahwa mereka tidak bisa lagi membedakan mana yang penting tanpa penyelidikan yang memakan waktu.

IBM melaporkan bahwa rata-rata waktu untuk mengidentifikasi pelanggaran data secara global mencapai 194 hari pada 2024. Sebagian besar dari waktu itu bukan karena tidak ada sinyal di SIEM, melainkan karena sinyal itu terkubur di bawah tumpukan alert yang tidak pernah sempat diperiksa dengan seksama.

Skala masalah ini sangat terasa di Indonesia. BSSN mencatat 4,41 miliar anomali lalu lintas siber nasional hingga September 2025. Sebagian besar dari event itu membutuhkan penilaian awal untuk menentukan apakah layak ditindaklanjuti. Tanpa otomasi yang tepat, beban itu jatuh sepenuhnya ke analis.

Apa yang dilakukan agen AI pada setiap alert

Ketika alert muncul di antrian, agen AI tidak hanya membaca kondisi pemicunya. Agen membuka beberapa penyelidikan secara bersamaan: memeriksa reputasi IP atau domain terkait di basis data intelijen ancaman global, mencari aset yang terlibat di inventaris internal untuk memahami klasifikasi dan pemiliknya, menelusuri riwayat aktivitas pengguna di periode sebelum alert terjadi, dan memeriksa apakah sinyal serupa muncul di endpoint atau segmen jaringan lain dalam waktu yang sama.

Proses ini berlangsung dalam hitungan detik. Pada akhirnya, agen menghasilkan laporan ringkas dengan skor keyakinan: seberapa besar kemungkinan alert ini merepresentasikan ancaman nyata, berdasarkan semua konteks yang dikumpulkan.

Alert terpicu di SIEMAgen mengumpulkan konteksKorelasi lintas sumberSkor keyakinan ditetapkanEskalasi atau penutupan otomatis

Alert dengan skor tinggi dan tanda-tanda ancaman nyata langsung masuk ke antrian analis dengan konteks yang sudah lengkap. Alert dengan skor rendah yang konsisten dengan pola normal ditutup secara otomatis dan dicatat untuk audit. Analis hanya melihat kasus yang memerlukan penilaian mereka.

Diagram berikut menggambarkan alur keputusan agen dari titik alert masuk hingga tindakan yang diambil.

Alur triase agentic AI SOC L1Alert masuk dari SIEMPengumpulan konteks oleh agen AIIntelijen ancaman · Inventaris aset · Riwayat pengguna · Korelasi lintas endpointSkor keyakinanancaman nyata?RendahDitutup otomatis+ catatan auditTinggiEskalasi keanalis manusiaInvestigasi dan responsKonteks sudah tersediaSedangRemediasi otomatis+ notifikasi analisSetiap keputusan dicatat untuk tinjauan kualitas dan penyesuaian model
Alur triase agentic AI: dari alert SIEM hingga keputusan eskalasi atau penutupan otomatis (Alpha Code, 2026)

Perbedaan dengan SOAR dan playbook otomasi tradisional

SOAR (Security Orchestration, Automation and Response) sudah lama dikenal sebagai alat otomasi SOC. Tapi ada perbedaan mendasar antara SOAR berbasis playbook dengan pendekatan agentic.

Playbook SOAR bekerja dengan logika kondisional yang sudah ditentukan sebelumnya: jika kondisi A, maka lakukan tindakan B. Pendekatan ini efektif untuk skenario yang sudah dikenali dan terdefinisi dengan baik, tetapi rapuh ketika menghadapi variasi yang tidak terduga. Sebuah alert dengan pola sedikit berbeda dari template yang ada sering kali lolos dari otomasi atau memicu respons yang tidak tepat.

Agen AI bekerja secara berbeda. Agen tidak mencocokkan kondisi dengan template; agen menilai situasi berdasarkan konteks yang dikumpulkan dan mengambil keputusan berdasarkan pemahaman yang lebih luas tentang apa yang sedang terjadi. Ini tidak berarti agen selalu benar, melainkan agen dapat menangani variasi yang tidak pernah terpikirkan saat playbook ditulis, selama agen memiliki konteks yang cukup untuk menilainya.

Kedua pendekatan bisa saling melengkapi. Playbook SOAR tetap berguna untuk respons yang perlu deterministik dan dapat diaudit secara ketat. Agen AI menambahkan lapisan penilaian yang lebih fleksibel di atas itu.

Yang dikerjakan analis dengan waktu yang kembali

Ketika triase rutin sudah diurus agen, analis memiliki waktu untuk mengerjakan sesuatu yang lebih berarti. Threat hunting berjalan jauh lebih baik ketika seseorang punya waktu untuk mengikuti rantai hipotesis di log historis tanpa harus terus-menerus menginterupsi diri sendiri untuk memeriksa alert baru. Begitu juga dengan investigasi mendalam terhadap anomali yang tidak cocok dengan tanda tangan mana pun.

Manfaat lain yang sering kurang disadari adalah peningkatan kualitas eskalasi itu sendiri. Ketika agen menyampaikan alert ke analis, alert itu datang sudah lengkap dengan konteks: aset mana yang terlibat, apa yang baru-baru ini terjadi pada sistem itu, indikator apa yang tumpang tindih dengan intelijen ancaman yang diketahui. Analis memulai investigasi dari titik yang jauh lebih maju, bukan dari nol. Ini berdampak langsung pada kecepatan respons insiden, yang pada akhirnya menentukan seberapa jauh penyerang sempat bergerak sebelum dihentikan.

194 hari

rata-rata waktu deteksi pelanggaran data secara global (IBM CODB 2024)

$2,22 juta

rata-rata penghematan biaya pelanggaran pada organisasi yang menggunakan AI dan otomasi keamanan secara ekstensif (IBM CODB 2024)

108 hari

pengurangan siklus hidup pelanggaran pada organisasi dengan AI ekstensif dibanding yang tidak (IBM CODB 2024)

Triase otomatis menyelesaikan masalah di hilir, yaitu alert yang sudah terlanjur muncul. Agen yang sama dapat bekerja lebih jauh ke hulu, pada deteksi yang menghasilkan alert, dan ke arah operasi, pada biaya menjalankan semuanya. Dua kemampuan berikut bekerja berdampingan dengan triase L1.

Deteksi yang beradaptasi tanpa penyetelan manual

Kualitas triase hanya sebaik aturan deteksi yang memicunya. Di sinilah banyak SOC kehilangan waktu sebelum alert pertama muncul. Aturan deteksi biasanya ditulis sekali, lalu jarang ditinjau ulang sampai ada yang terasa salah. Padahal lingkungan terus berubah: aset baru ditambahkan, aplikasi SaaS baru diintegrasikan, pola kerja pengguna bergeser. Aturan yang akurat enam bulan lalu perlahan menjadi terlalu berisik atau, yang lebih berbahaya, buta terhadap aktivitas yang sebelumnya tidak ada.

Lapisan deteksi agentic menyesuaikan logika deteksi terhadap baseline lingkungan yang terus diperbarui. Ketika pola normal bergeser, agen menyesuaikan threshold dan konteks aturan alih-alih menunggu seorang engineer menyetelnya secara manual. Hasilnya ada dua sekaligus: false positive berkurang di sumbernya, sehingga volume yang masuk ke triase ikut turun, dan aturan tetap relevan tanpa siklus penyetelan manual yang tidak pernah selesai.

Agen juga memetakan cakupan deteksi terhadap kerangka MITRE ATT&CK di seluruh tool yang sudah Anda miliki: EDR, log cloud, sistem identitas, aplikasi SaaS, hingga perangkat OT. Pemetaan ini memunculkan titik buta, yaitu teknik serangan yang relevan dengan lingkungan Anda tetapi belum tercakup oleh deteksi mana pun. Menutup titik buta sebelum diserang jauh lebih murah daripada menanganinya setelah terjadi.

Biaya operasional yang lebih rendah dan kemandirian dari satu vendor

Sebagian besar biaya SIEM ditentukan oleh volume data yang dimasukkan ke dalamnya. Semakin banyak telemetri yang diingest, semakin besar tagihan lisensi dan biaya pipeline data. Model tradisional mendorong organisasi memasukkan hampir semua log ke dalam satu platform agar bisa dikueri nanti. Pendekatan ini mahal dan menciptakan ketergantungan pada satu vendor: semakin banyak data yang terkunci di sana, semakin sulit dan mahal untuk berpindah.

Pendekatan agentic membalik urutannya. Alih-alih mengingest semua data lebih dahulu, agen mengambil konteks dari sumbernya secara on-demand saat triase dan investigasi berlangsung: dari EDR, cloud, sistem identitas, aplikasi bisnis, infrastruktur dan OT, serta data lake yang sudah ada. Data yang benar-benar perlu disimpan jangka panjang tetap masuk ke SIEM, tetapi volume ingestion yang mahal dapat ditekan karena tidak semua telemetri harus dipindahkan untuk bisa dianalisis.

 Model ingestion-heavyModel on-demand (agentic)
Dasar biayaVolume data yang diingestKueri konteks sesuai kebutuhan
Akses dataHarus diingest dulu untuk dianalisisDiambil dari sumber saat dibutuhkan
Ketergantungan vendorTinggi, data terkunci di satu platformRendah, bekerja lintas tool yang ada
Cakupan sumberTerbatas pada yang sanggup diingestMenjangkau EDR, cloud, identitas, SaaS, OT

Efeknya pada operasi terasa di dua sisi. Biaya ingestion dan pipeline turun karena analisis bergeser dari pola "kumpulkan dulu, kueri kemudian" menjadi intelijen sesuai kebutuhan. Ketergantungan pada satu platform berkurang karena agen bekerja melintasi tool yang sudah ada, bukan memaksa semua data masuk ke produk satu vendor. Tim keamanan tetap memegang kendali atas deteksi, investigasi, dan orkestrasi respons dari satu tampilan operasi, tanpa terkunci pada arsitektur yang sulit ditinggalkan.

Kemampuan yang tersedia

Triase alert otomatisPengayaan konteks multi-sumberKorelasi lintas SIEM dan endpointPenilaian reputasi IP dan domainDeteksi anomali perilaku (UEBA)Profil baseline dinamisPenyesuaian aturan deteksi berkelanjutanPemetaan cakupan deteksi ke MITRE ATT&CKPengayaan konteks on-demand tanpa ingestion penuhOrkestrasi respons lintas toolAudit trail setiap keputusan agenIntegrasi API SIEM (Splunk, Sentinel, QRadar)Mode observasi untuk kalibrasi awal

Perubahan operasional yang terasa di lapangan

Volume triase yang berkurang

Tim analis tidak lagi memeriksa setiap alert secara manual. Agen menyaring noise, sehingga antrian yang sampai ke analis sudah berisi kasus yang memerlukan penilaian nyata, bukan pemeriksaan rutin yang berulang.

Konteks yang siap digunakan

Setiap eskalasi ke analis disertai konteks yang sudah dikumpulkan oleh agen: informasi aset, riwayat pengguna, kaitannya dengan intelijen ancaman. Analis tidak perlu memulai penyelidikan dari nol.

Dokumentasi keputusan yang konsisten

Setiap tindakan agen, baik penutupan maupun eskalasi, dicatat dengan alasan yang dapat diaudit. Ini memenuhi kebutuhan dokumentasi yang sering diperlukan untuk pemeriksaan regulasi dan tinjauan internal.

Kalibrasi yang berjalan terus

Model agen terus belajar dari umpan balik analis. Setiap penolakan atau koreksi dari analis menjadi sinyal yang digunakan untuk menyesuaikan threshold dan profil baseline di periode berikutnya.

Integrasi dengan infrastruktur keamanan yang ada

Lapisan agentic tidak memerlukan penggantian SIEM atau EDR yang sudah ada. Agen beroperasi sebagai lapisan di atas tumpukan yang berjalan, mengambil telemetri dari SIEM melalui API, dan mengembalikan konteks yang diperkaya ke dalam antrian analis. Kami mendukung Splunk, Microsoft Sentinel, IBM QRadar, dan platform open-source yang umum digunakan di Indonesia.

Onboarding ke layanan SOC terkelola kami dimulai dengan periode kalibrasi empat hingga delapan minggu di mana agen berjalan dalam mode observasi, membuat rekomendasi yang ditinjau oleh analis sebelum otomasi penuh diaktifkan. Periode ini penting bukan hanya untuk menyetel model, tetapi juga untuk membangun kepercayaan tim bahwa agen tidak menutup sesuatu yang seharusnya ditindaklanjuti.

Referensi

  1. 1.IBM Security. Cost of a Data Breach Report 2024. IBM Corporation, 2024.
  2. 2.BSSN. Monitoring Keamanan Siber Nasional: 4,41 miliar anomali lalu lintas siber hingga September 2025. Badan Siber dan Sandi Negara, 2025.
  3. 3.MITRE. ATT&CK Framework. The MITRE Corporation.

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

Agentic AI adalah sistem kecerdasan buatan yang dapat mengambil tindakan multi-langkah secara mandiri untuk menyelesaikan tugas, bukan sekadar mengklasifikasikan satu input. Dalam SOC, agen AI dapat menerima sebuah alert, mengumpulkan konteks dari SIEM, basis data aset, intelijen ancaman, dan riwayat pengguna secara bersamaan, lalu membuat keputusan awal apakah alert itu perlu dieskalasi ke analis manusia atau dapat ditutup secara otomatis dengan catatan audit.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.