SOAR singkatan dari Security Orchestration, Automation, and Response. Ini bekerja dengan menghubungkan, mengotomatiskan, dan mengorkestrasikan berbagai alat dan alur kerja dalam keamanan siber untuk meningkatkan efektivitas respons insiden. Sedangkan Splunk adalah platform analitik data yang sering digunakan dalam bidang keamanan siber, operasional TI, dan pemantauan bisnis. Fungsi utamanya adalah mengumpulkan, mengindeks, dan menganalisis data dari berbagai sumber, seperti log server, perangkat jaringan, aplikasi, dan perangkat keamanan. Sehingga memungkinkan pengguna untuk mendapatkan wawasan secara real-time.
Apa bedanya SOAR dan SIEM? Apakah sama?
SOAR lebih berfokus pada otomatisasi respons dan orkestrasi untuk merespons ancaman dengan cepat, sementara SIEM lebih pada deteksi ancaman dengan analisis data log dari berbagai sumber. SOAR dan SIEM sering digunakan bersama untuk menciptakan ekosistem keamanan yang efektif, di mana SIEM mendeteksi ancaman, dan SOAR merespons secara otomatis atau semi-otomatis.
Splunk menurut Wikipedia
In September 2013 the company acquired BugSense, a mobile-device data-analytics company. Splunk Inc. is an American software company based in San Francisco, California. It produces software for searching, monitoring, and analyzing machine-generated data via a web-style interface. Its software helps capture, index and correlate real-time data in a searchable repository, from which it can generate graphs, reports, alerts, dashboards and visualizations.
Beberapa catatan tentang SOAR dan Splunk
Pembahasan kita tentang SOAR dan Splunk. Dengan SOAR, organisasi dapat mengotomatiskan tugas-tugas manual yang berulang dalam manajemen insiden dan respon ancaman. Serta menyatukan alat keamanan yang berbeda dalam satu platform untuk pengambilan keputusan yang lebih cepat dan akurat.
Cara Kerja SOAR
- Pengumpulan Data Otomatis:
- SOAR mengumpulkan data keamanan dari berbagai sumber seperti SIEM (Security Information and Event Management), firewall, endpoint detection, threat intelligence, dan alat keamanan lainnya.
- Data yang dikumpulkan diproses dan dianalisis untuk mengidentifikasi pola ancaman atau aktivitas mencurigakan.
- Orkestrasi (Orchestration):
- SOAR mengintegrasikan berbagai alat dan sistem keamanan yang berbeda untuk bekerja sama melalui satu platform. Misalnya, jika suatu ancaman terdeteksi oleh sistem SIEM, SOAR dapat memberi tahu alat endpoint protection untuk mengambil tindakan.
- Orkestrasi ini memastikan bahwa berbagai teknologi dan sistem keamanan yang digunakan dalam organisasi dapat bertindak bersama-sama tanpa memerlukan interaksi manual yang berlebihan.
- Otomatisasi Proses:
- SOAR menggunakan playbook atau alur kerja otomatis untuk merespons insiden sesuai dengan prosedur yang telah ditetapkan. Misalnya, jika ditemukan ancaman, playbook dapat dijalankan untuk memblokir IP, karantina file, atau memberi notifikasi kepada tim keamanan.
- Dengan otomatisasi ini, SOAR menghilangkan tugas-tugas manual seperti pemindaian log, pengecekan indikator ancaman, atau eskalasi insiden, yang memungkinkan tim keamanan untuk berfokus pada investigasi dan analisis lebih lanjut.
- Manajemen Insiden dan Respons:
- SOAR menyediakan alat manajemen insiden, di mana setiap insiden dapat diidentifikasi, dilacak, dan diselesaikan sesuai prosedur. Alur kerja respons bisa melibatkan langkah-langkah mitigasi, eskalasi, atau dokumentasi insiden untuk audit.
- SOAR juga mendokumentasikan setiap langkah yang diambil dalam proses penanganan insiden, yang memudahkan tim keamanan untuk meninjau dan meningkatkan efektivitas alur kerja di masa depan.
- Pembelajaran dan Pengembangan Playbook:
- Seiring waktu, SOAR bisa menggunakan machine learning atau analisis lanjutan untuk mengidentifikasi pola dan menyesuaikan playbook atau alur kerja agar lebih sesuai dengan kebutuhan organisasi.
- Hal ini memungkinkan SOAR untuk memberikan rekomendasi yang lebih baik dan menyesuaikan respons berdasarkan tingkat ancaman, sehingga alur kerja otomatis tetap relevan dan efektif.
Contoh Alur Kerja SOAR
Misalnya, ketika SIEM mendeteksi aktivitas mencurigakan di suatu IP, SOAR bisa menjalankan alur kerja sebagai berikut:
- Mengumpulkan Data: SIEM mengirimkan informasi tentang aktivitas mencurigakan ke SOAR.
- Analisis Ancaman: SOAR memverifikasi data dari SIEM dengan informasi dari alat threat intelligence.
- Otomatisasi Respons: Jika ancaman valid, SOAR mengeksekusi playbook yang akan memblokir IP, mengkarantina perangkat terkait, atau memberi tahu tim SOC.
- Pencatatan dan Pelaporan: SOAR mencatat langkah-langkah yang diambil, dan laporan disusun untuk keperluan audit atau peningkatan prosedur di masa mendatang.
Dengan alur kerja yang otomatis, SOAR memungkinkan organisasi untuk menangani ancaman secara cepat dan efektif, mengurangi risiko, dan meningkatkan efisiensi tim keamanan.
SOAR dan Splunk di TryHackMe
Kita coba bahasa SOAR dan Splunk dari sisi TryHackMe.
SIEM adalah singkatan dari Sistem Informasi Keamanan dan Manajemen Peristiwa. Ini adalah alat yang mengumpulkan data dari berbagai titik akhir/perangkat jaringan di seluruh jaringan, menyimpannya di tempat terpusat, dan melakukan korelasi pada data tersebut. Ruangan ini akan membahas konsep dasar yang diperlukan untuk memahami SIEM dan cara kerjanya. Room: Introduction to SIEM.
Splunk adalah solusi SIEM canggih yang menyediakan kemampuan untuk mencari dan menjelajahi data mesin. Bahasa Pemrosesan Pencarian (SPL) digunakan untuk membuat pencarian lebih efektif. Ini mencakup berbagai fungsi dan perintah yang digunakan bersama untuk membentuk kueri penelusuran yang kompleks namun efektif untuk mendapatkan hasil yang optimal. Room: Splunk – Exploring SPL (Search Processing Language).
Advanced Splunk
Pahami kemampuan Splunk tingkat lanjut untuk mencari anomali pada data dengan membuat kueri penelusuran yang kompleks, menerapkan regex, dan membuat laporan dan dasbor yang rapi.
Dalam modul ini, kita akan menginstal instance Splunk dan menyiapkan penerus untuk menyerap log dari sumber log yang berbeda. Kita akan mempelajari cara membuat kueri penelusuran yang kompleks dan menggunakan regex untuk mengurai log guna meningkatkan kemampuan investigasi insiden dan perburuan ancaman. Selain itu, kita akan mempelajari cara membuat laporan dan dasbor yang rapi untuk membantu analisis.