Pengalaman Kerja Menjadi Seorang SOC L1

SOC atau Security Operation Center adalah fasilitas dimana sistem informasi perusahaan yang meliputi website, aplikasi, database, server, jaringan dan perangkat endpoint lainnya dipantau dan dijaga keamanan nya.

Tujuan SOC secara umum yaitu mendeteksi, melakukan investigasi, dan melakukan respon terhadap insiden siber secepat mungkin. SOC yang baik adalah lebih dari sekedar melakukan pemantauan namun juga dapat menanggapi peristiwa keamanan siber secara cepat dan efisien.

Dalam SOC terdiri dari beberapa bagian, yaitu:

Level 1, memiliki fokus utama melakukan triase yang berupa tindakan-tindakan remidiasi dan melakukan monitoring pada perangkat. Selain itu Tier 1 juga bertugas melakukan eskalasi insiden kepada tim pada Tier selanjutnya apabila insiden memerlukan penanganan lebih lanjut.

Level 2, pada Tier ini bertugas dalam melakukan investigasi dan remidiasi penyelesaian atas insiden yang terjadi dimana umumnya banyak komponen yang terdampak.

Level 3, berfokus dalam melakukan threat hunting, digital forensik, dan peningkatan kapabilitas perangkat deteksi lainnya.

SIEM Admin, bertugas dalam mengelola perangkat SIEM (Security Information and Event Management) agar tools dapat bekerja dengan baik dan meminimalisir terjadinya “false positive”. SIEM admin juga bertugas dalam membuat rules dalam SIEM.

SOC Manager, bertugas untuk melakukan pengelolaan terhadap tim SOC, melakukan komunikasi terhadapt mitra, membangun kerja sama bisnis.

Nah itu adalah beberapa sedikit penjelasan dari SOC. Pada artikel ini, penulis akan membagikan pengalaman Bagaimana Kerja Menjadi Seorang SOC Tier 1 pada suatu perbankan swasta di Indonesia.

Tugas Utama

SOC pada level 1 atau tier 1 merupakan lapisan pertama dalam komponen SOC yang bertugas melakukan monitoring security pada lingkungan jaringan atau network perusahaan. Memantau aktivitas apakah ada anomali atau alert yang terjadi dan mengklasifikasikan menjadi level severity low, medium, high atau critical.

Karena bertugas dalam melakukan pemantauan keamanan, SOC tier 1 dituntut untuk dalam melakukan pemantauan selama 24 jam setiap harinya. Jadi tier 1 terdiri dari beberapa anggota yang akan melakukan shifting.

Proses shifting paling tidak 2 orang pada setiap shift karena apabila satu orang sedang melakukan aktivitas makan contohnya maka masih ada anggota yang dapat membackup. Biasanya terdapat 3 sesi shifting yakni 8 jam per shift nya.

Tools Yang Digunakan

Dalam melakukan pemantauan, seorang SOC memerlukan tool yaitu SIEM ELK(Elastic, Logstash, and Kibana) sebagai tool utama nya karena semua log dari antivirus, firewall, WAF, dan sebagainya akan berpusat pada SIEM ini. Hal ini bertujuan untuk mempermudah dalam melakukan monitoring tanpa membuka aplikasi satu per satu.

Namun kita juga tetap membuka tools lain untuk berjaga-jaga apabila suatu saat SIEM terjadi kesalahan. Apabila terjadi kesalahan, kita dapat dapat melaporkan kepada SIEM admin agar dilakukan perbaikan pada rules nya.

Ada kalanya alert pada SIEM tidak menampilkan log pada bagian interface nya, jadi kita sebagai SOC diharuskan dapat membaca log secara manual.

Terdapat juga istilah yang dinamakan ‘false positive’. False positif dapat diartikan bahwa SIEM terjadi kesalahan deteksi yang seharusnya aktivitas yang legitimate malah terdeteksi sebagai alert. Contohnya biasanya terjadi saat pihak legitimate yaitu admin membuat akun baru atau melakukan test namun terdeteksi SIEM sebagai aktivitas yang mencurigakan.

Proses Kerja

Lalu apa sajakah yang dilakukan saat shifting 8 jam tersebut? Akan dijabarkan dalam penjelasan berikut.

Di tempat penulis bekerja, jam shifting dibagi menjadi tiga yakni jam 00:00 – 08:00, 08:00 – 16:00, dan 16:00 – 00:00

Agar tidak tergesa-gesa, diusahakan untuk datang lebih awal sekitar 30 menit untuk melakukan persiapan. Terkadang terdapat tugas yang belum selesai dari shift sebelumnya yang dilimpahkan pada shift sekarang. Hal ini dapat dikatakan wajar karena sebagai tim kita harus saling membantu.

Pada jam kerja kita diharuskan berfokus dalam melakukang monitoring karena alert bersifat realtime dan kita juga harus melakukan follow up terhadap alert yang terjadi sehingga tugas tidak menumpuk.

Beberapa alert yang biasanya dilakukan follow up oleh penulis sebagai SOC tier 1 adalah sebagai berikut :

Brute force alert

Biasanya ini terjadi karena user internal pada perusahaan mengalami lupa password sehingga melakukan percobaan secara berulang kali secara terus menerus yang mentrigger alert. Tindakan yang dapat dilakukan adalah mengirimkan email terhadap user tersebut untuk melakukan konfirmasi apakah benar user tersebut yang melakukan tindakan tersebut.

Web Application Attack

Alert berasal dari aplikasi firewall yang medeteksi adanya serangan oleh threat actor. Alert yang muncul dapat kita ambil beberapa informasi seperti alamat IP, jumlah request, destination yang dapat kita lihat pada contoh gambar di bawah :

Apabila muncul alert tersebut, yang dapat dilakukan adalah dengan menganalisis sumber IP nya. Pada gambar didapatkan IP yaitu 185.233.19.77, kita dapat melakukan pengecekan reputasi IP menggunakan platform seperti VirusTotal, AbuseIPDB, IPVoid, dan sebagainya.

Perlu kita cek juga apakah IP tersebut merupakan IP dari partner atau bukan. Apabila iya maka case closed. Apabila tidak, kita dapat melakukan request block IP kepada tim NOC (Network Operation Center)

Access site contain malware

Merupakan alert yang muncul dikarenakan adanya indikasi user melakukan akses ke URL atau link yang terdeteksi merupakan sebuah link bad reputation, spam ataupun phising. Kita dapat melakukan pengecekan url yang terindikasi malware dengan menggunakan VirusTotal.

Apabila url tersebut terbukti merupakan bad reputation, maka langkah selanjutnya adalah melakukan assesment URL untuk dilakukan blacklist.

Biasanya alert ini dapat ter-trigger lagi walaupun kita sudah melakukan blacklist, jadi untuk mengeceknya apakah sudah di-drop dapat melihat log nya secara langsung.

Virus Detected

Alert ini berasal dari Antivirus yang digunakan dimana didapatkan melalui log dari Antivirus itu sendiri. Hal ini terjadi karena perangkat dari user atau server terindikasi adanya virus. Kasusnya biasanya karena user salah klik sebuah link yang melakukan auto download dan terdeteksi oleh anti virus.

Untuk melakukan follow up, L1 akan mengirimkan email kepada pengelola antivirus untuk melakukan remote scan kepada pemilik dari device tersebut yang dapat dilihat pada log di SIEM nya.

Email Spam

Di tempat penulis bekerja, menggunakan aplikasi anti spam yaitu Ironport. Untuk melakukan pengecekan, dapat dilihat pada log apakah sudah dropped atau delivered. Namun kita juga seringkali mendapatkan request langsung dari user internal mengenai adanya potensi Email spam.

Untuk melakukan pengecekan, kita dapat menggunakan penyedia pengecekan reputasi online dimana disini kita akan menggunakan MXToolbox. Pertama-tama kita copy terlebih dahulu header dari email yang akan dicek. Kemudian dilakukan assesment berdasarkan hasil yang didapatkan dari reputasi check MXToolbox.

Kesimpulan

Begitulah kurang lebih gambaran bekerja sebagai SOC terutama untuk L1 atau tier 1. Contoh di atas hanya beberapa job desk nya. Sebenarnya masih ada beberapa tugas lainnya. Dapat disimpulkan bahwa sebagai seorang SOC L1 kita harus bersedia apabila jam kerja menggunakan sistem shifting karena untuk melakukan monitoring dibutuhkan selama 24 jam setiap hari.

Selain itu kita juga harus tetap selalu fokus apalagi disaat jam sibuk karena pasti akan banyak alert yang muncul, selesaikan task pada saat alert muncul dan jangan menumpuk terlalu banyak karena nanti akan membebankan tim yang akan bertugas pada shift selanjutnya.