Managed SOC
Layanan Managed XDR: deteksi lintas lapisan melalui SOC Jakarta kami
Ringkasnya
XDR mengkorelasikan sinyal dari endpoint, jaringan, cloud, dan identitas. Alpha Code mengoperasikannya dari SOC Jakarta, analis menindaklanjuti setiap temuan.
Sebagian besar alat deteksi mengawasi satu lapisan lingkungan Anda. Agen EDR mengawasi endpoint. Firewall mencatat event jaringan. Platform cloud mencatat panggilan API. Setiap alat menjalankan tugasnya, tetapi tidak ada yang bisa melihat apa yang terjadi di semua empat lapisan secara bersamaan. Di celah itulah banyak intrusi serius luput dari perhatian cukup lama hingga menimbulkan kerusakan nyata.
Extended Detection and Response, atau XDR, dibangun khusus untuk menutup celah tersebut. XDR menarik telemetri dari endpoint, jaringan, cloud, dan identitas secara bersamaan, mengkorelasikan sinyal-sinyal itu, dan memunculkan temuan yang tidak akan pernah dihasilkan oleh alat satu lapisan mana pun. Alpha Code tidak menjual XDR sebagai produk terpisah. Kami mengoperasikannya sebagai kemampuan dalam Security Operations Center Jakarta kami yang beroperasi 24/7, sehingga mesin korelasi dan analis yang menindaklanjuti temuannya bekerja bersama dari lantai operasi yang sama.
Apa yang sebenarnya dilakukan XDR
XDR adalah kemampuan korelasi, bukan dasbor pemantauan. Perbedaan ini penting. Dasbor pemantauan menunjukkan apa yang terjadi di setiap lapisan secara terpisah. XDR bertanya apakah sebuah pola di satu lapisan terhubung dengan sesuatu di lapisan lain: apakah proses yang tidak biasa berjalan di endpoint pukul 02.00 pagi terkait dengan lonjakan lalu lintas keluar yang muncul di sensor jaringan satu jam kemudian, dan apakah akun pengguna yang sama menunjukkan autentikasi mencurigakan dari lokasi yang tidak dikenal pada malam yang sama.
Ketiga event itu, jika dilihat secara terpisah pada alat-alat yang berbeda, mungkin masing-masing akan dianggap sebagai noise berkepercayaan rendah. Dilihat bersama melalui korelasi lintas lapisan, ketiganya menggambarkan intrusi yang sedang berlangsung. Korelasi itulah yang menjadi inti kemampuan XDR.
Arsitektur: bagaimana telemetri mengalir melalui SOC
Diagram di bawah menunjukkan bagaimana telemetri dari empat lapisan mengaliri inti korelasi dan bagaimana temuan mencapai analis untuk ditindaklanjuti.
Deteksi dimulai ketika agen EDR pada sebuah endpoint mencatat rantai proses yang mencurigakan. Sensor jaringan menangkap koneksi keluar dari host yang sama beberapa menit kemudian. Platform cloud mencatat panggilan API dari service account yang biasanya tidak melakukan panggilan di jam itu. Sistem identitas mencatat reset kata sandi pada akun yang terkait dengan pengguna yang terpengaruh. Tidak satu pun dari event ini, secara sendiri, melewati ambang batas untuk alert berkepercayaan tinggi. Inti korelasi menerima keempat sinyal, mencocokkannya berdasarkan waktu dan aset, lalu menghasilkan satu temuan konsolidasi: kemungkinan pengambilalihan akun yang sedang berlangsung, disertai pergerakan lateral ke sumber daya cloud.
Temuan konsolidasi itu masuk ke antrian analis. Seorang analis meninjaunya, mengonfirmasi polanya, dan memutuskan respons: isolasi endpoint, cabut token sesi, dan buka catatan insiden. Seluruh rantai dari sinyal awal hingga tindakan analis berlangsung dalam hitungan menit, bukan jam atau hari yang dibutuhkan untuk korelasi manual di antara alat-alat terpisah.
Mengapa visibilitas multi-lapisan mengubah apa yang bisa Anda tangkap
Alat satu lapisan tidak bisa melihat serangan yang berlangsung lintas lapisan. Intrusi modern dirancang justru untuk memanfaatkan titik buta ini. Penyerang yang mendapatkan akses awal melalui email phishing mungkin menggunakan endpoint hanya selama beberapa menit sebelum berpindah ke API cloud atau menyalahgunakan kredensial identitas yang sah. Setelah perpindahan itu, endpoint sudah tenang. Tanpa visibilitas ke apa yang dilakukan sistem identitas dan platform cloud setelah itu, intrusi menjadi tidak terdeteksi.
IBM menemukan bahwa pelanggaran yang melibatkan beberapa lingkungan, yaitu data yang disimpan atau diakses di public cloud, private cloud, dan sistem lokal secara bersamaan, rata-rata membutuhkan 283 hari untuk diidentifikasi dan diatasi pada 2024. Pelanggaran multi-lingkungan itu juga rata-rata menelan biaya lebih dari USD 5 juta, dibandingkan rata-rata global USD 4,88 juta untuk semua jenis pelanggaran. Jangka waktu yang panjang ini mencerminkan betapa sulitnya mengkorelasikan sinyal ketika setiap lingkungan dipantau secara terpisah.
Organisasi yang telah menerapkan XDR berhasil mengatasi pelanggaran dalam rata-rata 275 hari, dibandingkan 304 hari untuk yang tidak memiliki XDR, berdasarkan analisis Barracuda Networks atas laporan IBM tersebut. Pengurangan 29 hari itu paling berarti untuk intrusi yang tanpa XDR akan menyebar ke berbagai lapisan sebelum terdeteksi.
283 hari
rata-rata waktu identifikasi dan penahanan pelanggaran multi-lingkungan (IBM Cost of a Data Breach Report 2024)
275 vs 304 hari
waktu penahanan dengan XDR vs tanpa XDR, per analisis Barracuda atas IBM CODB 2024
40%
pelanggaran pada 2024 melibatkan data di beberapa lingkungan (IBM CODB 2024)
Apa yang ditangkap korelasi lintas lapisan yang terlewat oleh alat satu lapisan
Pergerakan lateral berbasis kredensial
Ketika penyerang menggunakan kredensial yang dicuri atau dipalsukan untuk berpindah antar sistem, tidak ada file malware yang bisa dideteksi oleh agen endpoint. Aktivitasnya tampak seperti login yang sah. XDR melihat kombinasinya: endpoint yang tenang ditambah event autentikasi yang tidak biasa ditambah panggilan API cloud dari lokasi baru, lalu memunculkan polanya.
Eksploitasi pasca-akses di cloud saja
Setelah mendapatkan pijakan melalui endpoint yang disusupi, penyerang canggih sering kali langsung berpindah ke API cloud dan meninggalkan endpoint sama sekali. Alat endpoint-only menjadi diam. XDR terus melacak identitas dan sesi cloud yang sama melewati perpindahan itu.
Penyalahgunaan identitas lewat alat sistem bawaan
Penyerang yang menggunakan alat sistem bawaan dan kredensial sah menghasilkan sedikit noise di endpoint. XDR mengkorelasikan event endpoint yang minim sinyal itu dengan eskalasi hak identitas dan pola jaringan keluar yang bersama-sama mengindikasikan perilaku penyerang.
Eksfiltrasi data perlahan dan bertahap
Eksfiltrasi data yang dilakukan selama berhari-hari atau berminggu-minggu untuk menghindari pemicu ambang volume sulit dideteksi dengan aturan yang ditulis untuk satu lapisan. XDR melacak pola kumulatif di metadata lalu lintas jaringan, panggilan API penyimpanan cloud, dan log autentikasi seiring waktu.
EDR vs XDR: arti perbedaan cakupannya
| EDR (endpoint saja) | XDR (lintas lapisan) | |
|---|---|---|
| Sumber telemetri | Endpoint: proses, file, registry, memori | Endpoint + jaringan + cloud + identitas |
| Perpindahan penyerang ke cloud | Tidak ada visibilitas setelah perpindahan keluar dari endpoint | Melacak sesi yang sama di lapisan cloud dan identitas |
| Deteksi penyalahgunaan kredensial | Terbatas, kecuali perilaku proses di perangkat tidak biasa | Mengkorelasikan event identitas dengan aktivitas jaringan dan cloud |
| Volume alert | Alert per-endpoint, sering kali tinggi | Temuan yang telah dikorelasi, lebih sedikit tapi lebih dapat ditindaklanjuti |
| Opsi respons | Isolasi host, karantina file, rollback | Semua tindakan EDR ditambah pencabutan sesi cloud dan remediasi identitas |
SIEM berada di posisi yang berbeda dalam gambaran ini. SIEM mengagregas data log secara luas dan mengandalkan aturan yang ditulis dan dipelihara tim Anda untuk menghasilkan deteksi. XDR menjalankan korelasi otomatis di empat lapisan telemetri di atas tanpa mengharuskan penulisan aturan untuk setiap pola serangan. Keduanya saling melengkapi: SIEM memberikan retensi log yang luas dan pelaporan kepatuhan; XDR memberikan korelasi otomatis untuk alur kerja deteksi dan respons. SOC kami mengoperasikan keduanya.
Cara ACT mengoperasikan XDR melalui SOC Jakarta
XDR bukan alat yang kami serahkan lalu kami tinggalkan. Ini adalah kemampuan yang kami operasikan secara berkelanjutan dari Security Operations Center Jakarta kami. Dalam praktiknya, ini berarti sebagai berikut.
Analis kami menghubungkan telemetri XDR dengan konteks penuh lingkungan Anda: inventaris aset Anda, baseline pengguna, arsitektur cloud, dan jendela pemeliharaan yang sudah diketahui. Ketika mesin korelasi menandai sebuah pola, analis yang meninjauinya sudah memiliki konteks itu. Mereka tahu apakah panggilan API cloud pukul 03.00 adalah pipeline deployment yang sudah dijadwalkan atau sesuatu yang tidak memiliki penjelasan sah. Konteks itulah yang membedakan temuan yang berguna dari yang hanya menambah kebisingan.
Ketika sebuah temuan memerlukan tindakan, respons dilakukan oleh tim yang sama. Bergantung pada perjanjian layanan Anda, itu bisa berarti isolasi host melalui agen EDR, pencabutan sesi cloud, penangguhan akun Active Directory, atau eskalasi ke keterlibatan respons insiden penuh melalui tim incident response kami. Operasi SOC juga mencakup threat hunting: analis menggunakan telemetri XDR untuk mencari aktivitas yang belum memicu aturan korelasi mana pun, khususnya untuk teknik penyerang yang terdokumentasi dalam kerangka MITRE ATT&CK yang mungkin dihadapi lingkungan Anda.
Kami menjalankan ini berdampingan dengan managed MDR, yang mencakup alur kerja deteksi dan respons secara lebih luas, dan triase L1 agentic AI, yang menangani pemfilteran alert otomatis sebelum temuan yang telah dikorelasi mencapai analis manusia. Untuk perbandingan yang lebih luas tentang apa yang ditawarkan model layanan SOC, lihat perbandingan MDR vs MSSP kami.
Kemampuan yang tersedia
Referensi
- 1.IBM Security. Cost of a Data Breach Report 2024. IBM Corporation, Juli 2024.
- 2.IBM Newsroom. IBM Report: Escalating Data Breach Disruption Pushes Costs to New Highs. 30 Juli 2024.
- 3.Barracuda Networks. 2024 IBM Breach Report: More breaches, higher costs. Barracuda Networks Blog, 20 Agustus 2024. (Sumber untuk angka waktu penahanan XDR: 275 hari dengan XDR vs 304 hari tanpa XDR.)
- 4.MITRE. ATT&CK Framework. The MITRE Corporation.
Ditinjau oleh Mohit Bhansali, Head of Technology
Pertanyaan umum
Tidak. XDR adalah kemampuan deteksi dan korelasi lintas lapisan, bukan produk terpisah yang dijual Alpha Code secara mandiri. Kami mengoperasikan XDR sebagai bagian dari SOC-as-a-Service dari Security Operations Center kami di Jakarta. Anda mendapatkan cakupan deteksi, korelasi, dan analis yang menindaklanjuti temuan, semuanya dalam satu layanan.
Terkait
Solusi
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.