Langsung ke konten utama

Managed SOC

Layanan Managed XDR: deteksi lintas lapisan melalui SOC Jakarta kami

Ringkasnya

XDR mengkorelasikan sinyal dari endpoint, jaringan, cloud, dan identitas. Alpha Code mengoperasikannya dari SOC Jakarta, analis menindaklanjuti setiap temuan.

Security monitoring

Sebagian besar alat deteksi mengawasi satu lapisan lingkungan Anda. Agen EDR mengawasi endpoint. Firewall mencatat event jaringan. Platform cloud mencatat panggilan API. Setiap alat menjalankan tugasnya, tetapi tidak ada yang bisa melihat apa yang terjadi di semua empat lapisan secara bersamaan. Di celah itulah banyak intrusi serius luput dari perhatian cukup lama hingga menimbulkan kerusakan nyata.

Extended Detection and Response, atau XDR, dibangun khusus untuk menutup celah tersebut. XDR menarik telemetri dari endpoint, jaringan, cloud, dan identitas secara bersamaan, mengkorelasikan sinyal-sinyal itu, dan memunculkan temuan yang tidak akan pernah dihasilkan oleh alat satu lapisan mana pun. Alpha Code tidak menjual XDR sebagai produk terpisah. Kami mengoperasikannya sebagai kemampuan dalam Security Operations Center Jakarta kami yang beroperasi 24/7, sehingga mesin korelasi dan analis yang menindaklanjuti temuannya bekerja bersama dari lantai operasi yang sama.

Apa yang sebenarnya dilakukan XDR

XDR adalah kemampuan korelasi, bukan dasbor pemantauan. Perbedaan ini penting. Dasbor pemantauan menunjukkan apa yang terjadi di setiap lapisan secara terpisah. XDR bertanya apakah sebuah pola di satu lapisan terhubung dengan sesuatu di lapisan lain: apakah proses yang tidak biasa berjalan di endpoint pukul 02.00 pagi terkait dengan lonjakan lalu lintas keluar yang muncul di sensor jaringan satu jam kemudian, dan apakah akun pengguna yang sama menunjukkan autentikasi mencurigakan dari lokasi yang tidak dikenal pada malam yang sama.

Ketiga event itu, jika dilihat secara terpisah pada alat-alat yang berbeda, mungkin masing-masing akan dianggap sebagai noise berkepercayaan rendah. Dilihat bersama melalui korelasi lintas lapisan, ketiganya menggambarkan intrusi yang sedang berlangsung. Korelasi itulah yang menjadi inti kemampuan XDR.

Arsitektur: bagaimana telemetri mengalir melalui SOC

Diagram di bawah menunjukkan bagaimana telemetri dari empat lapisan mengaliri inti korelasi dan bagaimana temuan mencapai analis untuk ditindaklanjuti.

Arsitektur berlapis XDR: telemetri endpoint, jaringan, cloud, dan identitas ke inti korelasi hingga respons analisSUMBER TELEMETRIEndpointtelemetri agen EDRproses, file, registryJaringanNDR / firewall / DNSmetadata lalu lintasCloudAWS / Azure / GCPworkload & log APIIdentitasevent AD / Entra IDautentikasi, perubahan hakIntiKorelasimesin deteksi polalintas lapisanSOC JakartaAnalistriase · isolasihunting · responsTerintegrasi dengan SIEM yang ada (Splunk, Sentinel, QRadar)KORELASITINDAK LANJUT
Arsitektur berlapis XDR: pengambilan telemetri, korelasi lintas lapisan, dan respons yang dipimpin analis (Alpha Code, 2026)

Deteksi dimulai ketika agen EDR pada sebuah endpoint mencatat rantai proses yang mencurigakan. Sensor jaringan menangkap koneksi keluar dari host yang sama beberapa menit kemudian. Platform cloud mencatat panggilan API dari service account yang biasanya tidak melakukan panggilan di jam itu. Sistem identitas mencatat reset kata sandi pada akun yang terkait dengan pengguna yang terpengaruh. Tidak satu pun dari event ini, secara sendiri, melewati ambang batas untuk alert berkepercayaan tinggi. Inti korelasi menerima keempat sinyal, mencocokkannya berdasarkan waktu dan aset, lalu menghasilkan satu temuan konsolidasi: kemungkinan pengambilalihan akun yang sedang berlangsung, disertai pergerakan lateral ke sumber daya cloud.

Temuan konsolidasi itu masuk ke antrian analis. Seorang analis meninjaunya, mengonfirmasi polanya, dan memutuskan respons: isolasi endpoint, cabut token sesi, dan buka catatan insiden. Seluruh rantai dari sinyal awal hingga tindakan analis berlangsung dalam hitungan menit, bukan jam atau hari yang dibutuhkan untuk korelasi manual di antara alat-alat terpisah.

Mengapa visibilitas multi-lapisan mengubah apa yang bisa Anda tangkap

Alat satu lapisan tidak bisa melihat serangan yang berlangsung lintas lapisan. Intrusi modern dirancang justru untuk memanfaatkan titik buta ini. Penyerang yang mendapatkan akses awal melalui email phishing mungkin menggunakan endpoint hanya selama beberapa menit sebelum berpindah ke API cloud atau menyalahgunakan kredensial identitas yang sah. Setelah perpindahan itu, endpoint sudah tenang. Tanpa visibilitas ke apa yang dilakukan sistem identitas dan platform cloud setelah itu, intrusi menjadi tidak terdeteksi.

IBM menemukan bahwa pelanggaran yang melibatkan beberapa lingkungan, yaitu data yang disimpan atau diakses di public cloud, private cloud, dan sistem lokal secara bersamaan, rata-rata membutuhkan 283 hari untuk diidentifikasi dan diatasi pada 2024. Pelanggaran multi-lingkungan itu juga rata-rata menelan biaya lebih dari USD 5 juta, dibandingkan rata-rata global USD 4,88 juta untuk semua jenis pelanggaran. Jangka waktu yang panjang ini mencerminkan betapa sulitnya mengkorelasikan sinyal ketika setiap lingkungan dipantau secara terpisah.

Organisasi yang telah menerapkan XDR berhasil mengatasi pelanggaran dalam rata-rata 275 hari, dibandingkan 304 hari untuk yang tidak memiliki XDR, berdasarkan analisis Barracuda Networks atas laporan IBM tersebut. Pengurangan 29 hari itu paling berarti untuk intrusi yang tanpa XDR akan menyebar ke berbagai lapisan sebelum terdeteksi.

283 hari

rata-rata waktu identifikasi dan penahanan pelanggaran multi-lingkungan (IBM Cost of a Data Breach Report 2024)

275 vs 304 hari

waktu penahanan dengan XDR vs tanpa XDR, per analisis Barracuda atas IBM CODB 2024

40%

pelanggaran pada 2024 melibatkan data di beberapa lingkungan (IBM CODB 2024)

Apa yang ditangkap korelasi lintas lapisan yang terlewat oleh alat satu lapisan

Pergerakan lateral berbasis kredensial

Ketika penyerang menggunakan kredensial yang dicuri atau dipalsukan untuk berpindah antar sistem, tidak ada file malware yang bisa dideteksi oleh agen endpoint. Aktivitasnya tampak seperti login yang sah. XDR melihat kombinasinya: endpoint yang tenang ditambah event autentikasi yang tidak biasa ditambah panggilan API cloud dari lokasi baru, lalu memunculkan polanya.

Eksploitasi pasca-akses di cloud saja

Setelah mendapatkan pijakan melalui endpoint yang disusupi, penyerang canggih sering kali langsung berpindah ke API cloud dan meninggalkan endpoint sama sekali. Alat endpoint-only menjadi diam. XDR terus melacak identitas dan sesi cloud yang sama melewati perpindahan itu.

Penyalahgunaan identitas lewat alat sistem bawaan

Penyerang yang menggunakan alat sistem bawaan dan kredensial sah menghasilkan sedikit noise di endpoint. XDR mengkorelasikan event endpoint yang minim sinyal itu dengan eskalasi hak identitas dan pola jaringan keluar yang bersama-sama mengindikasikan perilaku penyerang.

Eksfiltrasi data perlahan dan bertahap

Eksfiltrasi data yang dilakukan selama berhari-hari atau berminggu-minggu untuk menghindari pemicu ambang volume sulit dideteksi dengan aturan yang ditulis untuk satu lapisan. XDR melacak pola kumulatif di metadata lalu lintas jaringan, panggilan API penyimpanan cloud, dan log autentikasi seiring waktu.

EDR vs XDR: arti perbedaan cakupannya

 EDR (endpoint saja)XDR (lintas lapisan)
Sumber telemetriEndpoint: proses, file, registry, memoriEndpoint + jaringan + cloud + identitas
Perpindahan penyerang ke cloudTidak ada visibilitas setelah perpindahan keluar dari endpointMelacak sesi yang sama di lapisan cloud dan identitas
Deteksi penyalahgunaan kredensialTerbatas, kecuali perilaku proses di perangkat tidak biasaMengkorelasikan event identitas dengan aktivitas jaringan dan cloud
Volume alertAlert per-endpoint, sering kali tinggiTemuan yang telah dikorelasi, lebih sedikit tapi lebih dapat ditindaklanjuti
Opsi responsIsolasi host, karantina file, rollbackSemua tindakan EDR ditambah pencabutan sesi cloud dan remediasi identitas

SIEM berada di posisi yang berbeda dalam gambaran ini. SIEM mengagregas data log secara luas dan mengandalkan aturan yang ditulis dan dipelihara tim Anda untuk menghasilkan deteksi. XDR menjalankan korelasi otomatis di empat lapisan telemetri di atas tanpa mengharuskan penulisan aturan untuk setiap pola serangan. Keduanya saling melengkapi: SIEM memberikan retensi log yang luas dan pelaporan kepatuhan; XDR memberikan korelasi otomatis untuk alur kerja deteksi dan respons. SOC kami mengoperasikan keduanya.

Cara ACT mengoperasikan XDR melalui SOC Jakarta

XDR bukan alat yang kami serahkan lalu kami tinggalkan. Ini adalah kemampuan yang kami operasikan secara berkelanjutan dari Security Operations Center Jakarta kami. Dalam praktiknya, ini berarti sebagai berikut.

Analis kami menghubungkan telemetri XDR dengan konteks penuh lingkungan Anda: inventaris aset Anda, baseline pengguna, arsitektur cloud, dan jendela pemeliharaan yang sudah diketahui. Ketika mesin korelasi menandai sebuah pola, analis yang meninjauinya sudah memiliki konteks itu. Mereka tahu apakah panggilan API cloud pukul 03.00 adalah pipeline deployment yang sudah dijadwalkan atau sesuatu yang tidak memiliki penjelasan sah. Konteks itulah yang membedakan temuan yang berguna dari yang hanya menambah kebisingan.

Ketika sebuah temuan memerlukan tindakan, respons dilakukan oleh tim yang sama. Bergantung pada perjanjian layanan Anda, itu bisa berarti isolasi host melalui agen EDR, pencabutan sesi cloud, penangguhan akun Active Directory, atau eskalasi ke keterlibatan respons insiden penuh melalui tim incident response kami. Operasi SOC juga mencakup threat hunting: analis menggunakan telemetri XDR untuk mencari aktivitas yang belum memicu aturan korelasi mana pun, khususnya untuk teknik penyerang yang terdokumentasi dalam kerangka MITRE ATT&CK yang mungkin dihadapi lingkungan Anda.

Kami menjalankan ini berdampingan dengan managed MDR, yang mencakup alur kerja deteksi dan respons secara lebih luas, dan triase L1 agentic AI, yang menangani pemfilteran alert otomatis sebelum temuan yang telah dikorelasi mencapai analis manusia. Untuk perbandingan yang lebih luas tentang apa yang ditawarkan model layanan SOC, lihat perbandingan MDR vs MSSP kami.

Kemampuan yang tersedia

Korelasi telemetri lintas lapisan (endpoint, jaringan, cloud, identitas)Pemantauan 24/7 oleh analis dari SOC JakartaPenerapan dan pengelolaan agen EDRAnalisis metadata lalu lintas jaringanPengambilan log cloud (AWS, Azure, GCP, cloud lokal)Pemantauan event Active Directory dan Entra IDPemfilteran alert otomatis dengan triase agentic AIPemetaan cakupan MITRE ATT&CKIsolasi host dan pencabutan sesi cloudThreat hunting di seluruh telemetri yang dikorelasiIntegrasi SIEM (Splunk, Sentinel, QRadar)Integrasi telemetri OT/SCADA (lingkungan industri)

Referensi

  1. 1.IBM Security. Cost of a Data Breach Report 2024. IBM Corporation, Juli 2024.
  2. 2.IBM Newsroom. IBM Report: Escalating Data Breach Disruption Pushes Costs to New Highs. 30 Juli 2024.
  3. 3.Barracuda Networks. 2024 IBM Breach Report: More breaches, higher costs. Barracuda Networks Blog, 20 Agustus 2024. (Sumber untuk angka waktu penahanan XDR: 275 hari dengan XDR vs 304 hari tanpa XDR.)
  4. 4.MITRE. ATT&CK Framework. The MITRE Corporation.

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

Tidak. XDR adalah kemampuan deteksi dan korelasi lintas lapisan, bukan produk terpisah yang dijual Alpha Code secara mandiri. Kami mengoperasikan XDR sebagai bagian dari SOC-as-a-Service dari Security Operations Center kami di Jakarta. Anda mendapatkan cakupan deteksi, korelasi, dan analis yang menindaklanjuti temuan, semuanya dalam satu layanan.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.