Mastoto // CyberKB
Back to archive
SOCGeneral

Note / siem-101-part-2

SIEM 101 part 2

SIEM adalah singkatan dari Security Information and Event Management

Quick info

Updated23h ago
Reading time19 min
Views0
Read-only view
Updated 23h ago19 min read0 views

11. SIEM dan SOAR

Dari Detection ke Response

SIEM yang baik mendeteksi ancaman. Tapi setelah ancaman terdeteksi, masih ada pekerjaan manual yang harus dilakukan: mengumpulkan informasi tambahan, membuat tiket, menghubungi stakeholder, melakukan containment.

SOAR (Security Orchestration, Automation, and Response) adalah platform yang mengotomasi dan mengorkestrasikan pekerjaan ini. SOAR tidak menggantikan SIEM — ia melengkapinya dengan mengambil output alert/incident dari SIEM dan mengeksekusi respons otomatis.

Bagaimana SIEM dan SOAR Bekerja Bersama

SIEM membuat incident → SOAR menerima trigger dari SIEM → SOAR menjalankan playbook:

  1. Enrichment otomatis: Query VirusTotal untuk reputasi hash, cek WHOIS domain mencurigakan, pull informasi user dari HR system
  2. Triage otomatis: Berdasarkan hasil enrichment, tentukan apakah ini high-priority atau bisa dikueri lebih lanjut
  3. Notifikasi: Kirim alert ke Slack, buat tiket di ServiceNow, page on-call analyst
  4. Containment semi-otomatis: Kirim request approval ke Teams — analyst bisa approve/reject dari pesan Teams
  5. Containment otomatis (untuk high-confidence): Block IP di firewall, isolate endpoint, suspend user account
  6. Documentation: Catat semua aksi yang dilakukan ke incident log di SIEM

Manfaat Integrasi SIEM-SOAR

  • MTTD menurun karena enrichment terjadi otomatis dalam detik, bukan menit
  • MTTR menurun karena respons awal tidak perlu menunggu analyst tersedia
  • Konsistensi respons — playbook dieksekusi sama setiap kali, tidak ada variasi berdasarkan pengalaman analyst
  • Scalability — bisa menangani ratusan alert bersamaan tanpa menambah headcount
  • Audit trail — setiap aksi otomatis tercatat, bisa di-review dan di-audit

12. Use Cases SIEM di Dunia Nyata

Use Case 1: Deteksi Brute Force & Credential Stuffing

Salah satu use case paling umum dan paling sering terjadi. Attacker mencoba masuk ke sistem menggunakan daftar username/password yang dicuri dari breach di platform lain.

SIEM mendeteksi ini dengan melacak jumlah login failure per IP atau per akun dalam window waktu tertentu. Yang membuat SIEM lebih baik dari tool individual adalah kemampuannya menggabungkan sinyal dari berbagai sistem — brute force ke VPN, ke O365, ke web app, dari IP yang sama atau IP yang berbeda tapi dari subnet yang sama.

Use Case 2: Insider Threat Detection

Karyawan yang tidak puas, yang terkena masalah finansial, atau yang akan resign dan ingin "membawa" data perusahaan. Ini salah satu ancaman paling sulit dideteksi karena menggunakan akses yang legitimate.

SIEM (terutama dengan UEBA) mendeteksi ini melalui pola perilaku yang menyimpang dari baseline: download volume yang tiba-tiba sangat besar, akses ke folder yang tidak pernah diakses sebelumnya, transfer ke USB drive yang tidak biasa, atau login di luar jam kerja normal.

Use Case 3: Ransomware Detection & Early Warning

Ransomware sebelum mengenkripsi data biasanya melakukan beberapa aktivitas yang bisa dideteksi: mematikan backup, shadow copy deletion, melakukan discovery jaringan, dan lateral movement ke banyak host.

SIEM yang terinstal dengan baik bisa mendeteksi fase pre-ransomware ini — volume file modification yang tidak normal, vssadmin.exe delete shadows command, discovery tool execution — dan memberi peringatan sebelum enkripsi dimulai.

Use Case 4: Data Exfiltration Detection

Data exfiltration adalah ancaman yang sering terlambat dideteksi. Attacker yang sudah masuk akan mencuri data secara perlahan agar tidak terdeteksi oleh threshold-based alert.

SIEM mendeteksi ini melalui: volume upload yang anomali ke external destination (berbeda dari baseline), data staging di lokasi tidak biasa, compression/archiving tools berjalan di server yang tidak lazim, DNS queries dengan payload besar (DNS tunneling), atau koneksi ke cloud storage yang tidak dikenal.

Use Case 5: Supply Chain Attack Detection

Serangan lewat vendor atau software third-party yang dipercaya semakin umum (contoh: SolarWinds, Kaseya). Software yang dipercaya melakukan sesuatu yang tidak seharusnya.

SIEM membantu mendeteksi ini dengan memonitor anomali perilaku dari proses yang biasanya "trusted" — proses dengan signature valid tapi melakukan network connection ke IP asing, atau file access yang tidak sesuai dengan fungsi normalnya.

Use Case 6: Cloud Misconfiguration Exploitation

Banyak breach terjadi karena misconfiguration di cloud — S3 bucket yang public, security group yang terlalu permisif, service account dengan privilege berlebihan.

SIEM yang terintegrasi dengan cloud audit log bisa mendeteksi eksploitasi misconfiguration: akses ke resource yang seharusnya tidak bisa diakses, API calls dari IP yang tidak dikenal, unusual data access pattern terhadap cloud storage.

Use Case 7: Compliance Monitoring

Untuk organisasi yang harus comply dengan PCI DSS, HIPAA, atau regulasi lain, SIEM bisa secara otomatis mengumpulkan bukti compliance:

  • Semua akses ke data kartu kredit (PCI DSS)
  • Semua akses ke rekam medis pasien (HIPAA)
  • Perubahan konfigurasi pada system yang in-scope
  • Review dan approval untuk privileged access

Laporan ini bisa di-generate secara otomatis dan di-schedule, menghemat waktu signifikan saat audit.

13. SIEM di SOC (Security Operations Center)

Peran SIEM dalam Ekosistem SOC

SOC adalah tim dan fasilitas yang bertanggung jawab untuk monitoring, detection, dan response terhadap ancaman keamanan secara terus-menerus (24/7/365). SIEM adalah alat utama yang digunakan SOC — semua proses operasional SOC berputar di sekitar SIEM.

Tanpa SIEM, SOC harus memantau setiap sistem secara individual — login ke setiap server, perangkat jaringan, aplikasi secara terpisah. Ini tidak scalable dan tidak efektif.

Tier SOC dan Penggunaan SIEM

Tier 1 — Alert Monitoring & Triage Analyst Tier 1 adalah garis pertahanan pertama. Mereka memantau dashboard SIEM, menerima alert baru, melakukan triage awal (nyata atau false positive?), dan mengescalate ke Tier 2 jika perlu. Skill SIEM yang dibutuhkan: bisa membaca alert, memahami rule yang trigger, melakukan query dasar untuk gather additional context, dan mendokumentasikan findings.

Tier 2 — Incident Investigation Analyst Tier 2 menginvestigasi incident yang dieskalasi Tier 1. Mereka melakukan analisis lebih dalam, menghubungkan dots dari berbagai sumber, dan menentukan scope dan impact dari incident. Skill SIEM: query KQL/SPL yang lebih kompleks, correlation manual, investigation graph, watchlist management, threat hunting dasar.

Tier 3 — Threat Hunting & Engineering Senior analyst atau engineer yang melakukan proactive threat hunting, mengembangkan detection rules baru, melakukan tuning, dan merespons insiden kritis. Skill SIEM: KQL/SPL expert level, rule development, performance optimization, integration development, ML model understanding.

Metrik Operasional SOC yang Diukur via SIEM

MTTD (Mean Time to Detect): Rata-rata waktu dari saat compromise terjadi hingga SIEM/SOC mendeteksinya. Industri average MTTD untuk breach adalah masih dalam hitungan minggu-bulan. Target SOC yang baik adalah MTTD dalam hitungan menit-jam.

MTTR (Mean Time to Respond): Rata-rata waktu dari saat deteksi hingga containment/remediation selesai. Semakin rendah semakin baik.

False Positive Rate: Persentase alert yang merupakan false positive dari total alert. Target realistis <20% setelah tuning.

Alert Volume: Total alert per hari, per severity. Berguna untuk capacity planning dan mendeteksi perubahan mendadak (misal: jumlah alert High tiba-tiba meningkat 5x bisa berarti ada serangan atau ada rule yang bermasalah).

Incident Resolution Rate: Berapa persen incident berhasil diselesaikan dalam SLA yang ditetapkan.

14. Perbandingan Produk SIEM

Produk-Produk SIEM Utama di Pasar

Microsoft Sentinel Platform cloud-native berbasis Azure. Integrasi sangat kuat dengan seluruh ekosistem Microsoft (M365, Azure AD, Defender products). Menggunakan KQL sebagai bahasa query. Model pricing berbasis volume data ingested. Ideal untuk organisasi yang sudah heavily invested di Microsoft ecosystem.

Keunggulan: Native cloud, auto-scaling, UEBA built-in, Fusion ML, ratusan data connector, komunitas aktif di GitHub. Kelemahan: Biaya bisa tidak terduga untuk volume besar, lock-in ke Azure, KQL learning curve bagi yang belum familiar.

IBM QRadar Veteran SIEM yang sudah ada lebih dari 20 tahun. Tersedia on-premises, cloud, dan SaaS. Menggunakan bahasa query AQL (Ariel Query Language). Sangat mature dengan ekosistem integrasi yang luas.

Keunggulan: Sangat mature, korelasi yang powerful, banyak digunakan enterprise besar, MSSP-friendly. Kelemahan: Kompleks untuk dikonfigurasi dan di-maintain, biaya lisensi tinggi, UI yang tidak selalu intuitif.

Splunk Lebih dari sekedar SIEM — platform data analytics yang diaplikasikan ke security. Menggunakan SPL (Search Processing Language) yang sangat powerful. Tersedia on-premises dan cloud (Splunk Cloud).

Keunggulan: Sangat fleksibel, SPL sangat powerful, ekosistem apps yang kaya (Splunkbase), bisa digunakan untuk use case di luar security. Kelemahan: Mahal (salah satu yang paling mahal di pasar), resource-intensive, SPL learning curve cukup tinggi.

Google Chronicle Cloud-native SIEM dari Google yang dibangun di atas infrastruktur Google. Menggunakan YARA-L sebagai bahasa rule dan SQL-like query. Model pricing flat-rate per employee (bukan per volume data) — keunggulan signifikan untuk organisasi dengan volume log besar.

Keunggulan: Pricing model yang predictable, retention panjang (1 tahun default tanpa biaya tambahan), global threat intel dari Google, ingestion sangat cepat. Kelemahan: Relatif baru, ekosistem integrasi masih berkembang, terikat ke Google Cloud.

Elastic SIEM (Elastic Security) Berbasis platform Elastic Stack (Elasticsearch, Logstash, Kibana). Open source core dengan fitur enterprise berbayar. Sangat fleksibel dan customizable.

Keunggulan: Open source (hemat lisensi), sangat fleksibel, bisa deploy di mana saja, komunitas besar. Kelemahan: Butuh expertise tinggi untuk deploy dan maintain, banyak fitur enterprise yang berbayar, support terbatas untuk versi open source.

LogRhythm SIEM yang populer di mid-market enterprise. Tersedia sebagai appliance dan cloud. Punya built-in SOAR capabilities.

Exabeam SIEM generasi baru yang sangat fokus pada UEBA dan behavior analytics. Didesain untuk mengurangi alert fatigue dengan risk-based alerting.

Bagaimana Memilih SIEM?

Tidak ada satu jawaban terbaik — pilihan bergantung pada banyak faktor:

Budget: Splunk dan ArcSight premium pricing; Elastic bisa lebih ekonomis; Sentinel dengan volume besar bisa mahal; Chronicle dengan model flat-rate bisa menguntungkan untuk enterprise besar.

Existing Infrastructure: Jika sudah heavily invested di Microsoft/Azure, Sentinel adalah pilihan natural. Jika sudah punya Google Cloud, Chronicle. Kalau environment heterogen, Splunk atau QRadar lebih netral.

Team Skill: Setiap SIEM punya bahasa query berbeda. Pilih yang timnya bisa dipelajari, atau yang ada talent pool-nya di pasar lokal.

Compliance Requirements: Beberapa regulasi atau industri mungkin mensyaratkan data sovereignty — tidak bisa di cloud. Dalam hal ini on-prem QRadar atau Splunk on-prem lebih cocok.

Scale dan Growth: Untuk organisasi yang tumbuh cepat, cloud-native SIEM (Sentinel, Chronicle) lebih mudah di-scale tanpa re-architecting.

15. Generasi SIEM — Dari Tradisional ke Next-Gen

Generasi 1 (1990-an — awal 2000-an): Log Aggregation

SIEM pertama pada dasarnya hanyalah log aggregator yang lebih canggih. Mereka mengumpulkan log dari berbagai sumber, menyimpannya di satu tempat, dan menyediakan interface search sederhana. Korelasi masih sangat primitive — mostly berbasis threshold sederhana.

Keterbatasan utama: Volume data yang bisa di-handle terbatas, scaling sangat sulit, interface tidak user-friendly, dan hampir tidak ada automation.

Generasi 2 (2005–2015): Rule-Based Correlation SIEM

Ditandai oleh kemunculan ArcSight, QRadar, dan Splunk sebagai pemain dominan. Inovasi utama di era ini adalah correlation engine yang lebih sophisticated — bisa membuat rule kompleks, korelasi multi-sumber, dan event timeline.

Juga mulai ada konsep normalization yang lebih terstruktur, sehingga satu rule bisa bekerja di banyak sumber. Dashboard dan reporting mulai lebih visual dan user-friendly.

Keterbatasan: Masih sangat rule-based — membutuhkan pengetahuan mendalam tentang ancaman untuk membuat rule yang efektif. False positive masih tinggi. Scaling tetap sulit dan mahal. Threat yang tidak dikenal (zero-day, novel techniques) tidak terdeteksi.

Generasi 3 (2015–2020): Analytics-Driven & Cloud-Ready SIEM

Era ini ditandai oleh integrasi machine learning dan behavior analytics ke dalam SIEM. UEBA menjadi fitur mainstream. Threat Intelligence terintegrasi otomatis. Cloud mulai menjadi platform yang viable.

Inovasi kunci: UEBA untuk deteksi insider threat dan compromised accounts; ML-based anomaly detection untuk mendeteksi pola yang tidak bisa didefinisikan secara manual; cloud ingestion untuk log dari AWS, Azure, GCP; integrasi SOAR untuk automated response.

Generasi 4 (2020–Sekarang): Cloud-Native, AI-Powered, Converged

SIEM generasi terbaru seperti Microsoft Sentinel dan Google Chronicle dibangun dari scratch untuk cloud — bukan sekadar on-prem SIEM yang di-port ke cloud.

Karakteristik utama:

  • Truly cloud-native: Scaling otomatis, serverless, infrastructure tidak perlu dimanage
  • AI-native detection: Fusion alerts, ML models yang terus belajar dari data baru
  • Converged platforms: SIEM + SOAR + TI + UEBA dalam satu platform
  • Extended data sources: Bisa ingest data dari mana saja dalam volume apapun
  • Integration-first: Ratusan built-in connector, open API, ecosystem partner yang luas

16. Tantangan & Keterbatasan SIEM

Tantangan Teknis

Volume dan Velocity Data yang Terus Bertumbuh Setiap tahun, volume log yang harus diproses meningkat seiring bertambahnya perangkat, aplikasi, dan kompleksitas infrastruktur. SIEM harus terus di-scale, dan biayanya terus meningkat. Ini adalah challenge yang tidak pernah selesai.

Coverage Gap di Environment Modern SIEM tradisional didesain untuk infrastructure on-premises. Environment modern jauh lebih kompleks: multi-cloud, SaaS applications, IoT/OT devices, mobile devices, third-party/vendor access. Mendapatkan log dari semua ini — dalam format yang bisa dipahami SIEM — adalah tantangan integration yang besar.

Latency Ingest dan Real-Time Detection Ada selalu delay antara event terjadi di sumber dan event tersebut tersedia untuk diquery di SIEM. Untuk log yang dikirim via batch (misalnya setiap 15 menit), window deteksi bisa sangat lebar. Untuk serangan cepat, ini bisa berarti terlambat.

Data Quality Log yang tidak akurat, tidak lengkap, atau dengan timestamp yang salah akan menghasilkan korelasi yang salah dan false positive yang tinggi. "Garbage in, garbage out" berlaku sangat kuat di SIEM.

Tantangan Operasional

Skill Gap yang Signifikan Mengoperasikan SIEM secara efektif membutuhkan skill yang langka: pemahaman mendalam tentang network security, OS internals, attack techniques, programming/scripting, dan SIEM-specific query language. Talent dengan kombinasi skill ini sangat sulit ditemukan dan dipertahankan.

Tuning yang Tidak Pernah Selesai Environment terus berubah — infrastruktur baru ditambahkan, aplikasi diupdate, karyawan berganti. Setiap perubahan berpotensi membuat rule yang sudah ada menghasilkan false positive baru. Tuning SIEM adalah pekerjaan yang ongoing dan tidak pernah benar-benar "selesai".

Alert Fatigue Sudah dibahas sebelumnya — tapi ini adalah tantangan yang sangat nyata dan berdampak langsung pada efektivitas SOC. Organisasi dengan ribuan false positive per hari akan kalah dengan organisasi yang punya 100 alert per hari tapi semuanya high-fidelity.

Total Cost of Ownership yang Tinggi Biaya SIEM bukan hanya lisensi software. Ada biaya infrastruktur (storage, compute), biaya deployment dan konfigurasi awal, biaya ongoing maintenance dan tuning, biaya training, dan biaya staff untuk mengoperasikannya. TCO sebenarnya bisa 3-5x dari biaya lisensi saja.

Keterbatasan Fundamental

SIEM Tidak Mencegah Serangan SIEM adalah detection tool, bukan prevention tool. Ia memberi tahu Anda bahwa ada yang salah, tapi tidak secara otomatis menghentikan serangan (kecuali dikombinasikan dengan SOAR). Ada window waktu antara deteksi dan respons di mana damage bisa terjadi.

Tidak Bisa Mendeteksi Apa yang Tidak Di-log SIEM hanya bisa menganalisis data yang masuk ke dalamnya. Jika ada sistem yang tidak mengirim log ke SIEM, aktivitas di sistem tersebut adalah blind spot. Ini membuat completeness coverage sangat penting — dan sulit dicapai 100%.

False Negative dari Teknik Evasion Attacker yang canggih tahu bagaimana cara menghindari deteksi SIEM: menggunakan tools yang sah (Living Off the Land), bergerak sangat perlahan di bawah threshold, menghapus log sebelum dikirim ke SIEM, atau menggunakan teknik yang belum ada rule-nya.

17. Best Practices Implementasi SIEM

Fase Perencanaan (Sebelum Deploy)

Definisikan Use Cases Terlebih Dahulu Jangan deploy SIEM tanpa tujuan yang jelas. Tentukan terlebih dahulu: ancaman apa yang ingin dideteksi? Regulasi apa yang harus dipenuhi? KPI apa yang akan diukur? Use case yang jelas akan menentukan data source apa yang perlu di-ingest dan rule apa yang perlu dibuat.

Inventory Semua Data Sources Buat peta lengkap semua sumber data yang ada — semua server, perangkat jaringan, aplikasi, cloud service. Tentukan mana yang wajib ada di SIEM (high-value), mana yang nice-to-have, dan mana yang tidak perlu. Ini penting untuk kontrol biaya dan prioritas implementasi.

Definisikan Log Retention Policy Berapa lama log harus disimpan? Ini ditentukan oleh kebutuhan bisnis, regulasi yang berlaku, dan budget. Retention yang terlalu pendek akan menyulitkan investigasi forensik; terlalu panjang akan mahal.

Fase Implementasi

Start Small, Then Expand Jangan coba ingest semua data sekaligus di hari pertama. Mulai dengan data source paling kritikal (authentication logs, firewall, endpoint security) dan beberapa use case dasar. Setelah SIEM stabil dan tim familiar, tambahkan sumber data dan use case secara bertahap.

Bangun Baseline Sebelum Aktifkan Alert Setelah sumber data terhubung, biarkan data mengalir selama 2-4 minggu tanpa alert untuk membangun baseline. Pahami apa yang "normal" untuk environment Anda. Ini akan sangat membantu dalam tuning dan mengurangi false positive.

Dokumentasikan Semua Rule Setiap rule yang dibuat harus didokumentasikan: mengapa dibuat, data source yang digunakan, logic deteksi, expected behavior, known false positive, dan escalation procedure. Tanpa dokumentasi, saat analyst yang membuat rule tersebut resign, tidak ada yang tahu mengapa rule tersebut ada dan bagaimana cara tune-nya.

Fase Operasional

Buat Proses Tuning yang Terstruktur Establish proses review mingguan atau bulanan untuk melihat alert yang di-close sebagai false positive. Identifikasi pattern false positive dan tambahkan exclusion yang sesuai ke rule. Dokumentasikan setiap exclusion dan alasannya.

Ukur dan Perbaiki Terus-Menerus Track MTTD, MTTR, false positive rate, dan alert volume secara konsisten. Buat target yang realistis dan review progress secara berkala. Data ini akan membantu justifikasi investasi kepada manajemen dan mengidentifikasi area yang perlu ditingkatkan.

Lakukan Validasi Detection Secara Berkala Jangan assume bahwa rule yang sudah dibuat masih berfungsi dengan baik. Lakukan purple team exercise atau table-top simulation untuk memvalidasi bahwa teknik serangan yang harusnya terdeteksi memang menghasilkan alert. Rule bisa "break" karena perubahan format log, perubahan infrastruktur, atau update SIEM.

Investasi dalam Training Tim SIEM yang canggih sekalipun hanya seefektif orang yang mengoperasikannya. Investasikan dalam training analyst — KQL/SPL/AQL, MITRE ATT&CK, incident handling, dan forensik dasar. Analyst yang terampil bisa memaksimalkan nilai dari SIEM apapun.

18. SIEM, XDR, dan MXDR — Apa Bedanya?

XDR (Extended Detection and Response)

XDR adalah evolusi dari EDR (Endpoint Detection and Response) yang memperluas coverage ke lebih banyak layer: endpoint, network, email, identity, dan cloud. XDR mengintegrasikan data dari semua layer ini dalam satu platform yang dioptimalkan untuk detection dan response yang cepat.

Berbeda dengan SIEM yang bersifat general-purpose (bisa ingest semua jenis data), XDR lebih specialized — dioptimalkan untuk detection dan response, biasanya dengan data source yang lebih terbatas tapi lebih dalam integrasinya.

Contoh XDR: Microsoft 365 Defender (menggabungkan MDE, MDI, MDA, MDO), Palo Alto Cortex XDR, CrowdStrike Falcon XDR.

Perbedaan Kunci SIEM vs XDR

AspekSIEMXDR
Scope DataSangat luas — bisa ingest apapunLebih terbatas, fokus pada security telemetry
Kedalaman AnalisisBroad analyticsDeep analytics per domain
ComplianceKuat — dirancang untuk complianceKurang fokus pada compliance
Forensic/Log RetentionKuat — long-term retentionUmumnya retention lebih pendek
Custom RuleSangat fleksibelLebih terbatas, banyak yang pre-built
BiayaBiasanya lebih mahalBisa lebih cost-effective untuk scope tertentu
KompleksitasTinggiLebih rendah, out-of-the-box lebih baik

MXDR (Managed Extended Detection and Response)

MXDR adalah XDR yang dioperasikan oleh pihak ketiga (managed service). Cocok untuk organisasi yang ingin kemampuan detection dan response tanpa harus membangun tim SOC internal.

Konvergensi SIEM + XDR

Tren terbaru: batas antara SIEM dan XDR semakin kabur. Microsoft Sentinel berfungsi sebagai SIEM tapi juga sangat terintegrasi dengan Microsoft 365 Defender (XDR). Google Chronicle terintegrasi dengan Google Security Operations. Vendor berusaha menyediakan satu platform yang menggabungkan keunggulan keduanya.

Untuk kebanyakan enterprise, SIEM dan XDR bukan pilihan either/or — mereka komplementer. XDR untuk detection dan response yang cepat di domain tertentu; SIEM untuk compliance, forensik, dan korelasi cross-domain yang lebih luas.

19. Masa Depan SIEM

AI-Native SIEM

Generasi SIEM berikutnya akan semakin bergantung pada AI tidak hanya untuk anomaly detection, tapi juga untuk:

AI-Assisted Investigation: AI yang bisa secara otomatis menyelidiki incident, mengumpulkan evidence yang relevan, membangun timeline, dan memberikan summary investigasi kepada analyst — sehingga analyst bisa fokus pada keputusan, bukan pengumpulan data.

Natural Language Querying: Kemampuan untuk melakukan query dengan bahasa natural ("tunjukkan semua login mencurigakan minggu ini") daripada harus menulis KQL atau SPL. Ini akan menurunkan barrier of entry dan mempercepat investigasi.

Automated Hypothesis Generation: AI yang membaca threat intelligence terbaru dan secara otomatis membuat hunting queries berdasarkan teknik terbaru yang digunakan attacker — tanpa perlu analyst membaca laporan TI dan menginterpretasikannya secara manual.

Predictive Detection: Model yang tidak hanya mendeteksi apa yang terjadi sekarang, tapi memprediksi langkah berikutnya attacker berdasarkan pola yang terdeteksi, memungkinkan respons proaktif.

Democratization dan Simplification

SIEM secara historis hanya terjangkau dan dapat dioperasikan oleh enterprise besar. Tren ke depan adalah membuat kemampuan ini accessible untuk organisasi yang lebih kecil:

  • AI-driven automation mengurangi kebutuhan analyst berpengalaman untuk operasi rutin
  • Out-of-the-box content yang semakin baik mengurangi waktu time-to-value
  • Model pricing yang lebih fleksibel dan terjangkau
  • Managed SIEM services yang berkembang pesat

SIEM sebagai Bagian dari Platform Security yang Lebih Besar

Ke depannya, SIEM tidak akan berdiri sendiri — ia akan menjadi komponen dari platform security operations yang lebih komprehensif yang mencakup SIEM + SOAR + TI + XDR + Exposure Management dalam satu interface terpadu.

Visi ini sudah mulai diwujudkan oleh Microsoft dengan Microsoft Sentinel + M365 Defender + Defender for Cloud, dan oleh Google dengan Google Security Operations.

Tantangan yang Akan Tetap Ada

Meski teknologi SIEM terus berkembang, beberapa tantangan fundamental akan tetap ada:

  • Kualitas data selalu menjadi bottleneck — AI secanggih apapun tidak bisa menganalisis data yang tidak ada
  • Konteks bisnis selalu dibutuhkan — hanya manusia yang bisa menentukan apakah aktivitas "anomali" itu berbahaya atau ada penjelasan bisnis yang sah
  • Adversarial AI — attacker juga akan menggunakan AI untuk menghindari deteksi AI-based
  • Privacy dan regulasi — semakin banyak data yang dikumpulkan, semakin kompleks isu privacy dan data sovereignty

📚 Referensi & Bacaan Lanjutan

ResourceKeterangan
Gartner Magic Quadrant for SIEMEvaluasi vendor SIEM terbaru oleh analis industri
MITRE ATT&CK Framework (attack.mitre.org)Referensi taktik dan teknik serangan
NIST SP 800-92Panduan federal AS untuk log management
CIS ControlsFramework kontrol keamanan yang mencakup log management
SANS SEC555Kursus SANS khusus SIEM dan tactical analytics
David Bianco's Pyramid of PainKonsep penting untuk memahami nilai berbagai tipe IOC
The Practice of Network Security Monitoring (R. Bejtlich)Buku klasik tentang NSM yang relevan untuk SIEM
Microsoft Sentinel DocumentationDokumentasi resmi Sentinel
Splunk FundamentalsTraining dasar Splunk yang tersedia online

Dokumen ini merupakan penjelasan komprehensif tentang SIEM untuk keperluan pembelajaran dan referensi profesional keamanan siber. Terakhir diperbarui: April 2026.

Related Notes

Related notes

Notes with similar topics and tags so you can keep reading with context.

3 related notes
Closest matchScore 5

Casefile / microsoft-sentinel-101

Microsoft Sentinel 101

Microsoft Sentinel - AI Generated Content

Same categorySame platform
SOCGeneralUpdated 22h ago
Thread 2Score 5

Casefile / siem-101-part-1

SIEM 101 part 1

SIEM adalah singkatan dari Security Information and Event Management

Same categorySame platform
SOCGeneralUpdated 23h ago
Thread 3Score 5

Casefile / qradar-101

Qradar 101

QRadar 101 - AI generated Content

Same categorySame platform
SOCGeneralUpdated 1d ago