Apa yang dimaksud dengan informasi keamanan dan manajemen peristiwa (SIEM)?

SIEM bekerja dengan terus mengumpulkan data keamanan dari berbagai sumber di seluruh lingkungan Anda, menormalisasinya ke dalam format yang konsisten, dan menganalisisnya untuk mengidentifikasi ancaman dan insiden keamanan. Sistem ini menyerap log dari firewall, sistem deteksi penyusupan, endpoint, layanan cloud, dan aplikasi. Kemudian, SIEM menerapkan aturan korelasi untuk menghubungkan peristiwa terkait yang mungkin mengindikasikan serangan. Saat SIEM mengidentifikasi pola mencurigakan atau mencocokkan indikator ancaman yang diketahui, SIEM akan membuat pemberitahuan untuk diselidiki oleh tim keamanan Anda.

Proses SIEM melibatkan beberapa langkah:

• Pengumpulan data: Agen dan konektor mengumpulkan log dan peristiwa dari setiap bagian infrastruktur Anda secara real time
• Normalisasi: Data mentah dikonversi menjadi format standar sehingga informasi dari berbagai sumber dapat dibandingkan dan dianalisis bersama-sama
• Korelasi dan analisis: Sistem menerapkan aturan dan model machine learning untuk mengidentifikasi hubungan antara peristiwa dan mendeteksi anomali yang mengindikasikan ancaman
• Pembuatan pemberitahuan: Saat analisis mengidentifikasi potensi insiden keamanan, SIEM membuat pemberitahuan yang diprioritaskan berdasarkan tingkat keparahan dan risiko
• Dukungan investigasi: Analis keamanan menggunakan kemampuan penelusuran dan visualisasi SIEM untuk memeriksa pemberitahuan, merekonstruksi linimasa serangan, dan menentukan respons yang tepat
• Koordinasi respons: SIEM dapat memicu respons otomatis atau memandu analis melalui alur kerja respons insiden

Platform SIEM terdiri dari beberapa komponen terintegrasi yang bekerja sama untuk mengumpulkan data, mendeteksi ancaman, dan mengoordinasikan respons. Setiap komponen memiliki fungsi spesifik dalam proses pemantauan keamanan dan respons insiden secara keseluruhan.

Pengelolaan log merupakan pusat SIEM, yang menangani pengumpulan, penyimpanan, dan pengindeksan volume data peristiwa yang sangat besar dari seluruh infrastruktur Anda. SIEM mengagregasi log dari sistem operasi, database, perangkat jaringan, alat keamanan, dan layanan cloud ke dalam repositori terpusat yang dapat dicari dan dianalisis. Penyimpanan log terpadu ini menyediakan konteks historis yang diperlukan untuk menginvestigasi insiden, mengidentifikasi pola serangan, dan memenuhi persyaratan kepatuhan untuk retensi data.

Kemampuan deteksi ancaman menganalisis aliran data yang masuk untuk mengidentifikasi insiden keamanan saat terjadi. Sistem SIEM menggunakan beberapa metode deteksi, termasuk aturan berbasis pola yang cocok dengan pola serangan yang diketahui, analisis perilaku yang mengidentifikasi penyimpangan dari aktivitas normal, dan model machine learning yang mengenali indikator penyusupan yang halus. Feed Google Threat Intelligence memperkaya analisis ini dengan memberikan konteks tentang taktik penyerang, jenis malware, dan ancaman yang muncul.

Pemberitahuan mengubah ancaman yang terdeteksi menjadi notifikasi yang dapat ditindaklanjuti untuk tim keamanan Anda. SIEM mengevaluasi setiap masalah yang teridentifikasi berdasarkan kriteria penilaian risiko dan prioritas organisasi untuk menentukan tingkat keparahan dan pemilihan rute pemberitahuan. Mandiant Digital Threat Monitoring dapat memperluas kemampuan pemberitahuan Anda dengan memantau sumber eksternal untuk ancaman yang menargetkan organisasi Anda.

Kemampuan respons membantu tim keamanan mengatasi dan memperbaiki ancaman yang teridentifikasi. Platform SIEM menyediakan fitur pengelolaan kasus yang memandu analis melalui alur kerja investigasi dan respons, melacak tindakan yang diambil, dan mempertahankan jejak audit untuk setiap insiden. Layanan Mandiant Consulting dapat membantu Anda mengembangkan playbook respons yang efektif untuk menyelidiki, mengatasi, dan memperbaiki insiden cyber dengan cepat.

Otomatisasi dan orkestrasi mengurangi upaya manual yang diperlukan untuk memproses pemberitahuan dan merespons ancaman umum. Kemampuan orkestrasi, otomatisasi, dan respons keamanan (SOAR) memungkinkan Anda menentukan alur kerja yang secara otomatis menjalankan prosedur respons multi-langkah saat kondisi tertentu terpenuhi. Misalnya, saat SIEM mendeteksi malware di endpoint, playbook otomatis dapat mengarantina perangkat, mengumpulkan bukti forensik, memindai sistem lain untuk indikator serupa, dan membuat tiket untuk ditinjau oleh analis.

Kemampuan perburuan ancaman memungkinkan analis keamanan secara proaktif mencari ancaman yang lolos dari deteksi otomatis. SIEM menyediakan antarmuka kueri dan alat visualisasi yang memungkinkan pemburu menjelajahi lingkungan Anda, menguji hipotesis tentang perilaku penyerang, dan mengungkap penyusupan tersembunyi. Layanan Mandiant Threat Detection dan Hunting memanfaatkan platform SIEM untuk menelusuri ancaman lanjutan secara sistematis.

Fitur kepatuhan membantu Anda memenuhi persyaratan peraturan dan standar keamanan industri. SIEM secara otomatis mengumpulkan dan menyimpan log sesuai dengan mandat kepatuhan seperti HIPAA, PCI DSS, GDPR, dan SOX, yang memberikan bukti yang diperlukan auditor untuk memverifikasi kontrol keamanan Anda. Laporan kepatuhan bawaan memetakan data log Anda ke persyaratan peraturan tertentu, yang menunjukkan sistem mana yang patuh dan menandai celah yang perlu diperhatikan.

Implementasi SIEM yang berhasil memerlukan perencanaan yang cermat dan pendekatan bertahap:

1. Menentukan tujuan yang jelas: Identifikasi sasaran keamanan dan kepatuhan spesifik yang ingin Anda capai dengan SIEM, seperti mendeteksi serangan ransomware, memantau akses istimewa, atau memenuhi persyaratan PCI DSS.
2. Menilai lingkungan Anda: Dokumentasikan semua sistem, aplikasi, dan sumber data yang perlu dimasukkan ke SIEM, dengan memprioritaskan aset penting dan target bernilai tinggi.
3. Memilih sumber data yang tepat: Mulailah dengan mengintegrasikan sumber log terpenting seperti pengontrol domain, firewall, dan alat keamanan endpoint sebelum memperluas ke sistem yang kurang penting.
4. Mengonfigurasi pengumpulan data: Siapkan agen, konektor, dan API untuk mengumpulkan log secara andal dari sumber yang teridentifikasi tanpa memengaruhi performa sistem.
5. Menormalisasi dan memperkaya data: Konfigurasikan aturan penguraian untuk mengekstrak kolom yang relevan dari log mentah dan memperkaya peristiwa dengan informasi kontekstual tentang aset, pengguna, dan kecerdasan ancaman.
6. Mengembangkan kasus penggunaan: Buat aturan deteksi dan logika korelasi yang disesuaikan dengan ancaman yang dihadapi organisasi Anda, dimulai dengan skenario berprioritas tinggi.
7. Menyesuaikan aturan deteksi: Uji dan sempurnakan aturan untuk mengurangi positif palsu sekaligus mempertahankan sensitivitas terhadap ancaman yang sebenarnya.
8. Menetapkan alur kerja: Tentukan prosedur investigasi dan respons untuk berbagai jenis insiden, dengan mendokumentasikan peran, tanggung jawab, dan kriteria eskalasi.
9. Melatih tim Anda: Berikan pelatihan komprehensif tentang platform SIEM, teknik investigasi, dan prosedur respons.
10. Memantau dan mengoptimalkan: Terus tinjau performa SIEM, kualitas pemberitahuan, dan metrik respons, serta lakukan penyesuaian sesuai kebutuhan untuk meningkatkan efektivitas.

SIEM mendukung beragam skenario keamanan di seluruh organisasi, mulai dari deteksi ancaman hingga pengelolaan kepatuhan. Tim keamanan memanfaatkan kemampuan SIEM untuk mengatasi kebutuhan keamanan mendesak dan tantangan operasional jangka panjang.

Kasus penggunaan SIEM yang umum meliputi:

1. Menganalisis sumber data yang sangat besar: Adopsi cloud dan IoT yang pesat berarti lebih banyak telemetri keamanan dan kebutuhan untuk menyerap log server yang mengindikasikan pelanggaran seperti DNS dan DHCP. SIEM dapat menganalisis sumber data yang besar dan menuntut dengan penelusuran kurang dari satu detik di seluruh petabyte data, sehingga memberikan skala yang diperlukan untuk mencakup semua basis Anda di seluruh infrastruktur modern.
2. Retensi telemetri endpoint yang diperpanjang: Anda dapat menganggap data dari alat EDR Anda sebagai satu-satunya sumber kebenaran untuk setiap perangkat di seluruh jaringan Anda. Namun, karena biaya yang tinggi, mungkin ada saat-saat Anda tidak dapat mempertahankan data EDR Anda untuk jangka waktu yang lama. SIEM memungkinkan Anda menyerap dan menyimpan telemetri endpoint setidaknya sepuluh kali lebih lama serta mengorelasikannya dengan sinyal perusahaan yang lebih luas untuk visibilitas yang lebih baik dan analisis yang lebih mendalam.
3. Respons dan orkestrasi otomatis: Waktu respons adalah faktor penentu dalam setiap insiden keamanan yang terjadi. Namun, banyak organisasi tidak memiliki kemampuan otomatisasi dan orkestrasi, sehingga respons terhadap ancaman menjadi tertunda dan memerlukan upaya manual yang intensif. Platform SecOps terpadu melengkapi tim Anda dengan playbook otomatis, pengelolaan kasus, dan kolaborasi yang dapat menghasilkan respons yang lebih cepat dan efektif.

Memilih SIEM yang tepat memerlukan evaluasi cermat tentang bagaimana berbagai solusi selaras dengan kebutuhan keamanan, infrastruktur, dan resource spesifik organisasi Anda. Anda perlu mempertimbangkan kemampuan teknis dan faktor operasional seperti kompleksitas deployment, persyaratan pemeliharaan berkelanjutan, dan total biaya kepemilikan. SIEM terbaik untuk organisasi Anda menyeimbangkan efektivitas deteksi, skalabilitas, dan kegunaan sekaligus berintegrasi secara lancar dengan alat yang sudah ada.

Gunakan kriteria berikut untuk membantu mengevaluasi solusi SIEM:

• Skalabilitas: Pastikan bahwa platform dapat menangani volume log Anda saat ini dan berkembang seiring pertumbuhan organisasi Anda tanpa penurunan performa
• Kemampuan integrasi: Cari konektor bawaan ke alat keamanan, platform cloud, dan aplikasi perusahaan yang sudah ada
• Efektivitas deteksi: Evaluasi kecanggihan aturan korelasi, model machine learning, dan integrasi kecerdasan ancaman
• Dukungan otomatisasi: Tentukan seberapa mudah Anda dapat membangun alur kerja respons otomatis dan berintegrasi dengan platform orkestrasi
• Dukungan kepatuhan: Pastikan solusi mencakup laporan dan fitur yang selaras dengan persyaratan peraturan Anda
• Total biaya kepemilikan: Hitung biaya lisensi, persyaratan infrastruktur, dan kebutuhan staf untuk implementasi dan operasi berkelanjutan

Masa depan SIEM akan dibentuk oleh peningkatan otomatisasi, integrasi yang lebih mendalam di seluruh alat keamanan, dan analisis yang lebih canggih yang didukung oleh kecerdasan buatan. Kami melihat SIEM berkembang dari platform mandiri menjadi operasi keamanan terpadu yang menggabungkan deteksi, investigasi, dan respons ancaman dengan deteksi dan respons yang diperluas (XDR) serta orkestrasi keamanan secara lancar. Machine learning akan terus berkembang melampaui deteksi anomali sederhana untuk memberikan kemampuan prediktif yang mengidentifikasi serangan pada tahap awal–jauh sebelum kerusakan signifikan terjadi. Seiring organisasi mengadopsi lebih banyak layanan cloud dan arsitektur terdistribusi, solusi SIEM berbasis cloud akan menjadi standar, yang menawarkan skalabilitas yang lebih besar dan integrasi bawaan dengan kontrol keamanan cloud.

Entah Anda memerlukan layanan SIEM terkelola lengkap atau ingin memanfaatkan kemampuan tertentu, Google Security Operations menawarkan opsi fleksibel untuk memenuhi persyaratan operasi keamanan Anda. Kami menyediakan kemampuan SIEM komprehensif yang dapat menangani volume log besar dengan skalabilitas berbasis cloud, analisis lanjutan yang mengurangi positif palsu, dan integrasi yang erat dengan ekosistem keamanan Google Cloud yang lebih luas. Google Security Operations mencakup konektor data bawaan yang terintegrasi secara lancar dengan alat dan layanan keamanan yang ada, sehingga menghilangkan kompleksitas integrasi kustom.