SIEM membantu mengumpulkan, mengorelasikan, dan menganalisis log dari perangkat jaringan, aplikasi, dan endpoint agar ancaman cepat teridentifikasi. Panduan ini memberikan gambaran dasar cara kerja, komponen penting, serta langkah awal implementasi yang bisa dilakukan tim kecil atau administrator. Fokus pada deteksi serangan, pengaturan alert, dan alur investigasi yang praktis.
Bagaimana cara kerja SIEM dalam mendeteksi serangan?
Pertanyaan yang bagus — pada dasarnya SIEM bekerja dengan mengumpulkan data log dari banyak sumber, menormalkan formatnya, lalu mengorelasikan event untuk menemukan pola yang mencurigakan. Sistem menggunakan aturan, signature, dan analitik perilaku (behavioral analytics) serta intelijen ancaman untuk menilai tingkat risiko. Saat kondisi terpenuhi, SIEM menghasilkan alert yang membantu analisis lanjutan dan respons. Selanjutnya, kita mulai dari pengenalan fungsi dasar SIEM agar proses ini lebih jelas.
💻 Mulai Belajar Pemrograman
Belajar pemrograman di Dicoding Academy dan mulai perjalanan Anda sebagai developer profesional.
Daftar Sekarang
Mengenal SIEM dari Pengumpulan Log Hingga Alert
SIEM bekerja lewat beberapa fungsi utama: collection, normalization, correlation, alerting, dan dashboard. Sistem ini mengumpulkan log dari berbagai sumber, menyamakan format, lalu mencari pola yang mencurigakan. Hasil akhirnya berupa alert dan tampilan ringkas di dashboard agar insiden mudah dipantau.
Sumber datanya biasanya mencakup firewall, IDS/IPS, server, endpoint, dan aplikasi cloud. Dari kombinasi sumber ini, kamu bisa melihat konteks serangan dari banyak sisi, bukan hanya satu perangkat. Itulah yang membuat SIEM jauh lebih kuat dibanding sekadar melihat log mentah.
Contoh alur sederhana: server mengirim syslog ke SIEM dengan format seperti ini:
|
1 |
Jan 10 10:01:23 web01 sshd[1234]: Failed password for root from 10.10.10.5 port 54321 ssh2 |
SIEM menormalkan event ini ke field standar, misalnya source_ip, username, dan action. Jika ada 20 kali failed login dari IP sama dalam 5 menit, aturan correlation memicu alert percobaan brute force.
Format log modern sering memakai JSON, misalnya dari aplikasi cloud:
|
1 2 3 4 5 6 |
{ "timestamp": "2026-01-10T10:01:23Z", "user": "admin@example.com", "action": "login_failed", "source_ip": "10.10.10.5" } |
SIEM membaca field ini tanpa parsing rumit sehingga korelasi bisa lebih cepat dan akurat.
Sebelum berkembang menjadi SIEM, ada dua fokus terpisah: SIM (Security Information Management) untuk pengelolaan dan analisis log jangka panjang, dan SEM (Security Event Management) untuk pemantauan real-time dan alerting. SIEM menggabungkan keduanya, sehingga kamu bisa melihat pola historis sekaligus mendeteksi ancaman saat itu juga, yang nanti sangat penting saat membahas cara kerja correlation engine.
Cara Kerja Correlation Engine untuk Mendeteksi Ancaman di Jaringan
Dalam SIEM, correlation engine biasanya mulai dari aturan sederhana. Misalnya, rule-based correlation yang menyatakan: “lebih dari 5 failed login dalam 10 menit dari IP yang sama” akan memicu alert. Kamu bisa menambahkan threshold lain, seperti jumlah file access ke folder sensitif dalam waktu singkat. Gabungan kondisi inilah yang membuat aktivitas terlihat mencurigakan, bukan satu event tunggal.
Langkah berikutnya, analytics seperti UEBA dan anomaly detection membantu membaca pola perilaku. Sistem membandingkan aktivitas user hari ini dengan pola normalnya. Jika biasanya login dari Jakarta pada jam kerja, lalu tiba-tiba ada banyak failed login tengah malam diikuti akses file ke direktori keuangan, skor risiko akan naik. Ini memberi konteks tambahan di atas aturan statis.
Threat intelligence menambah lapisan lain melalui enrichment. IP sumber dicocokkan dengan daftar malicious IP, domain dicek ke threat feed, dan hash file diperiksa ke basis data malware. Kalau IP penyerang ternyata sudah dikenal sebagai botnet, SIEM bisa menaikkan prioritas alert secara otomatis. Korelasi jadi lebih tajam karena melihat reputasi eksternal.
Namun, kombinasi aturan yang terlalu agresif bisa memicu false positive. Misalnya, admin sedang melakukan pengujian beban dan menghasilkan banyak failed login serta akses file massal yang sebenarnya sah. Untuk mengurangi ini, kamu bisa menambahkan pengecualian untuk akun atau subnet tertentu, menyesuaikan threshold berdasarkan jam kerja, dan menggunakan risk scoring gabungan, sehingga hanya skenario dengan risiko tinggi yang benar-benar mengganggu tim lewat alert prioritas tinggi.
Implementasi Logging dan Normalization Supaya Data Konsisten
Agar correlation engine bekerja maksimal, kamu perlu logging yang rapi dulu. Mulai dengan menentukan sumber prioritas: misalnya firewall, VPN, identity provider, server penting, lalu endpoint. Untuk tiap sumber, tetapkan retention policy yang jelas, misalnya 30 hari di hot storage untuk investigasi cepat, dan 6–12 bulan di cold storage untuk kebutuhan forensik.
Normalisasi log memastikan semua event punya format seragam, sehingga aturan korelasi tidak jadi rumit. Terapkan time-sync dengan NTP server yang sama pada server, perangkat jaringan, dan agen log, supaya timestamp konsisten. Selisih waktu kecil saja bisa membuat rangkaian serangan terlihat acak dan sulit diikuti.
Checklist singkat agen atau log forwarder: pastikan protokol aman (TLS), buffer lokal aktif, dan ada retry saat koneksi ke SIEM putus. Atur juga batas ukuran log dan mekanisme backoff, agar tidak membanjiri jaringan saat terjadi lonjakan event. Untuk endpoint modern, gunakan agen yang mendukung structured log seperti JSON.
Gunakan pola parsing yang eksplisit, misalnya grok pattern di Logstash atau custom parser di SIEM kamu.
|
1 |
%{TIMESTAMP_ISO8601:timestamp} %{IP:src_ip}:%{INT:src_port} -> %{IP:dst_ip}:%{INT:dst_port} %{WORD:action} |
Lalu lakukan field mapping ke skema standar, misalnya src_ip, dst_ip, user.name, event.category, agar pencarian dan korelasi konsisten. Tambahkan tag seperti asset_type:server atau env:production untuk memudahkan filter saat investigasi insiden di langkah berikutnya.
Dari Alert ke Respon Alur Investigasi Insiden Praktis
Begitu alert masuk ke SIEM, langkah pertama adalah menentukan prioritas. Gabungkan severity teknis dengan nilai aset yang terdampak, misalnya server pembayaran tentu lebih tinggi prioritasnya daripada workstation biasa. Kamu juga bisa menambah faktor lain seperti eksposur ke internet dan apakah aset menyimpan data sensitif.
Setelah prioritas jelas, lakukan alur investigasi praktis: triage cepat, pengayaan konteks, pemetaan scope, lalu containment. Triage menjawab pertanyaan dasar: apakah ini false positive, suspicious, atau benar-benar insiden. Konteks diambil dari asset inventory, user directory, dan threat intel sederhana di SIEM, sehingga kamu tidak menebak-nebak.
Gunakan checklist triage singkat seperti:
- Aset terdampak dan pemiliknya.
- Jenis aktivitas (login, file access, network connection).
- Lokasi sumber (internal, eksternal, negara berisiko tinggi).
- Apakah pola serupa muncul di aset lain?
- Tindakan segera yang sudah diambil (block, isolate host, disable account).
Setiap insiden perlu dokumentasi ringkas di tiket atau case SIEM: kronologi singkat, bukti utama, keputusan, dan containment yang dilakukan. Dari sini kamu bisa melakukan lessons learned dan tuning aturan korelasi, misalnya menambah pengecualian untuk pola yang jelas-jelas benign. Tujuannya mengurangi noise tanpa menurunkan kemampuan deteksi serangan nyata.
Untuk mengevaluasi efektivitas, pantau beberapa metrik sederhana: jumlah alert per hari, rasio false positive, dan waktu rata-rata dari alert ke triage awal. Tambahkan juga waktu hingga containment dan jumlah insiden berulang dengan pola yang sama. Jika metrik ini membaik, berarti alur dari alert ke respon makin sehat dan tim bisa fokus pada ancaman yang benar-benar penting.
Penutup
Setelah mengikuti panduan ini kamu akan memahami alur kerja dasar SIEM, cara mengorganisasi logging, menetapkan aturan korelasi, dan proses investigasi sederhana untuk merespon alert. Tujuannya: membuat pemantauan lebih terstruktur sehingga potensi serangan dapat dideteksi lebih cepat dan ditangani dengan prioritas yang tepat.
