Intermediate–Advanced
BAB 3 PROSES & FRAMEWORK
03
Incident Response Lifecycle
NIST SP 800-61 4 Fase
| Fase | Aktivitas | Peran L1 |
|---|---|---|
| 1. Preparation | Siapkan tools, playbook, training, contact list | Memahami SOP, tools, dan eskalasi path |
| 2. Detection & Analysis | Monitor alert, triage, analisis, korelasi | Fokus utama L1! Triage, validasi alert, dokumentasi |
| 3. Containment, Eradication & Recovery | Isolasi, hapus ancaman, pulihkan sistem | Eskalasi ke L2, bantuan containment dasar |
| 4. Post-Incident Activity | Lessons learned, update rules, improve | Input temuan untuk perbaikan detection rules |
SANS 6 Fase
SANS membagi proses IR menjadi: Preparation → Identification → Containment → Eradication → Recovery → Lessons Learned. Perbedaan utama: SANS memisahkan Containment, Eradication, dan Recovery menjadi fase terpisah. Keduanya (NIST & SANS) valid dan sering ditanyakan di interview.
Perbedaan NIST vs SANS: NIST = 4 fase (lebih
ringkas), SANS = 6 fase (lebih granular). NIST menggabungkan
Containment+Eradication+Recovery. Secara substansi, keduanya mencakup
proses yang sama.
MITRE ATT&CK Framework
MITRE ATT&CK adalah knowledge base global tentang taktik dan teknik yang digunakan adversary berdasarkan observasi dunia nyata. Framework ini adalah bahasa universal yang digunakan tim security untuk mendeskripsikan perilaku attacker.
14 Tactics (Tujuan Attacker)
| Tactic | Deskripsi | Contoh Teknik |
|---|---|---|
| Reconnaissance | Mengumpulkan info tentang target | Port scanning, OSINT, phishing for info |
| Resource Development | Membangun infrastruktur serangan | Beli domain, setup C2 server, develop malware |
| Initial Access | Masuk ke jaringan target | Phishing (T1566), exploit public app (T1190) |
| Execution | Menjalankan kode malicious | PowerShell (T1059.001), WMI, Scripting |
| Persistence | Mempertahankan akses | Registry Run Keys, Scheduled Task, Services |
| Privilege Escalation | Mendapatkan akses lebih tinggi | Token manipulation, exploit vulnerability |
| Defense Evasion | Menghindari deteksi | Obfuscation, disabling AV, timestomping |
| Credential Access | Mencuri credentials | Keylogging, LSASS dump, brute force |
| Discovery | Memahami environment korban | Network scan, account enumeration |
| Lateral Movement | Bergerak ke sistem lain | RDP, PsExec, SMB, Pass-the-Hash |
| Collection | Mengumpulkan data target | Screen capture, keylogging, email collection |
| Command & Control | Komunikasi dengan implant | HTTPS C2, DNS tunneling, domain fronting |
| Exfiltration | Mengeluarkan data curian | Exfil over C2, cloud storage, USB |
| Impact | Merusak atau mengganggu | Ransomware encryption, data wipe, defacement |
Cara Menggunakan ATT&CK sebagai L1: Ketika kamu
menemukan alert, coba mapping ke MITRE tactic/technique. Contoh:
"Failed login berulang" → Credential Access (T1110 Brute Force). Ini
membantu L2/L3 memahami konteks dan potensi dampak.
Cyber Kill Chain (Lockheed Martin)
Cyber Kill Chain menggambarkan 7 tahap serangan secara berurutan. Jika defender bisa memutus rantai di tahap manapun, serangan gagal.
| # | Fase | Aktivitas Attacker | Pertahanan |
|---|---|---|---|
| 1 | Reconnaissance | Riset target (OSINT, scanning) | Minimize digital footprint, honeypot |
| 2 | Weaponization | Buat payload (malware + exploit) | Threat intel, sandboxing |
| 3 | Delivery | Kirim payload (email, web, USB) | Email gateway, web filter, user awareness |
| 4 | Exploitation | Eksploitasi vulnerability | Patching, HIPS, application whitelisting |
| 5 | Installation | Install backdoor/RAT | EDR, file integrity monitoring |
| 6 | Command & Control | Establish C2 channel | Network monitoring, DNS filtering, proxy |
| 7 | Actions on Objectives | Exfiltrate data, ransomware, dll | DLP, segmentation, backup |
Triage Process & Alert Handling
Klasifikasi Alert
| Klasifikasi | Definisi | Aksi |
|---|---|---|
| True Positive (TP) | Alert valid ancaman nyata terdeteksi | Investigasi lanjut, eskalasi ke L2 jika perlu |
| False Positive (FP) | Alert fired tapi bukan ancaman nyata | Dokumentasi, pertimbangkan tuning rule |
| Benign Positive (BP) | Aktivitas terdeteksi valid tapi diizinkan (authorized pen test, admin activity) | Dokumentasi, close dengan catatan |
| False Negative (FN) | Ancaman nyata tidak terdeteksi | Paling berbahaya review rules, gap analysis |
Workflow Triage SOC L1
// Step-by-step alert handling:
1.
ALERT MASUK → Baca alert detail di SIEM
2. KONTEKS →
Siapa source? Target? Kapan? Berapa kali?
3.
ENRICHMENT → Cek IP/domain/hash di threat
intel (VirusTotal, AbuseIPDB) 4.
KORELASI → Ada alert lain terkait? Pola
serangan? 5.
VALIDASI → True Positive atau False
Positive? 6.
SEVERITY → Tentukan prioritas
(Critical/High/Medium/Low) 7.
AKSI → FP: close + tuning | TP: eskalasi
+ dokumentasi 8.
TIKET → Buat/update tiket dengan temuan
detail
Playbook & Runbook SOC
Playbook adalah dokumen prosedur standar yang memandu analyst dalam menangani tipe insiden spesifik. Playbook memastikan konsistensi respons antar analyst dan shift.
Perbedaan Playbook vs Runbook
| Aspek | Playbook | Runbook |
|---|---|---|
| Scope | High-level decision tree | Step-by-step technical procedure |
| Konten | "Jika X, lakukan Y atau Z" | "Klik ini, ketik command ini, screenshot ini" |
| Contoh | Playbook Phishing Response | Runbook: Cara Block IP di Firewall Palo Alto |
Contoh Playbook Phishing Alert
PLAYBOOK: PHISHING EMAIL
════════════════════════
1.
Identifikasi
├── Siapa pengirim? (Cek Return-Path, X-Originating-IP) ├──
SPF/DKIM/DMARC pass atau fail? ├── Ada attachment? Ada URL? └── Siapa
penerima dan berapa banyak?
2. Analisis
├── Cek URL di VirusTotal/URLhaus ├── Cek attachment hash di
VirusTotal ├── Cek domain sender di whois ├── Sandbox attachment jika
ada (Any.run, Hybrid Analysis) └── Apakah ada user yang sudah klik?
3.
Aksi (jika malicious)
├── Block sender domain/IP di email gateway ├── Block URL di proxy/web
filter ├── Cari dan hapus email dari semua mailbox ├── Jika user sudah
klik: eskalasi ke L2, reset password └── Notify user yang menerima
email
4.
Dokumentasi ├── Catat semua IOC (IP,
domain, hash, URL) ├── Update tiket dengan timeline └── Close atau
eskalasi
IOC vs IOA
| Aspek | IOC (Indicator of Compromise) | IOA (Indicator of Attack) |
|---|---|---|
| Definisi | Bukti bahwa serangan sudah terjadi | Bukti bahwa serangan sedang berlangsung |
| Sifat | Reaktif setelah kejadian | Proaktif saat kejadian |
| Contoh | Malware hash, C2 IP, malicious domain, file path | Unusual login pattern, PowerShell encoding, process injection |
| Kelebihan | Mudah di-share & automate | Bisa deteksi serangan baru (zero-day) |
| Kekurangan | Attacker bisa ubah IOC (IP baru, hash baru) | Butuh analisis behavioral yang lebih kompleks |
Pyramid of Pain (David Bianco): Dari mudah ke sulit
bagi attacker untuk mengubah: Hash → IP Address → Domain → Network
Artifacts → Host Artifacts → Tools →
TTPs. Deteksi
berbasis TTP (IOA) adalah yang paling efektif karena paling sulit bagi
attacker untuk mengubah perilaku mereka.
Threat Hunting Basics
Threat Hunting adalah proses proaktif mencari ancaman yang lolos dari detection tools. Berbeda dengan monitoring (reaktif/menunggu alert), hunting berasumsi bahwa attacker mungkin sudah ada di jaringan.
Pendekatan Hunting
| Pendekatan | Cara Kerja | Contoh |
|---|---|---|
| Hypothesis-driven | Mulai dari hipotesis berdasarkan threat intel | "APT group X menggunakan PowerShell encoded commands mari cari di log kita" |
| IOC-driven | Cari IOC dari threat feed di environment | Cari IP/hash/domain dari laporan terbaru |
| Anomaly-driven | Cari outlier atau deviasi dari baseline | User yang login di jam tidak biasa, traffic spike |
Catatan: Threat Hunting biasanya dilakukan oleh
L3/senior analyst, tapi sebagai L1 kamu harus memahami konsepnya
karena sering ditanyakan di interview dan kamu mungkin membantu dalam
proses hunting.