This is the Trace Id: 560981bb4bb73912dc08165a695c69d1
Lompati ke konten utama Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Tampilkan semua produk Keamanan cyber yang didukung AI Keamanan cloud Tata kelola dan keamanan data Akses jaringan dan identitas Manajemen risiko dan privasi Keamanan untuk AI Bisnis kecil & menengah SecOps Terpadu Zero Trust Harga Layanan Mitra Mengapa memilih Microsoft Security Kesadaran keamanan cyber Kisah pelanggan Dasar-Dasar Keamanan Uji coba produk Pengakuan industri Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Blog Microsoft Security Acara Microsoft Security Komunitas Teknologi Microsoft Dokumentasi Pustaka Isi Teknis Pelatihan & sertifikasi Program Kepatuhan untuk Microsoft Cloud Pusat Kepercayaan Microsoft Service Trust Portal Microsoft Secure Future Initiative Hub Solusi Bisnis Hubungi Bagian Penjualan Mulai percobaan gratis Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Realita campuran Microsoft HoloLens Microsoft Viva Komputasi kuantum Pendidikan Otomotif Layanan keuangan Pemerintah Layanan Kesehatan Produksi Eceran Cari mitra Jadilah mitra Jaringan Mitra Microsoft Marketplace Perusahaan perangkat lunak Blog Microsoft Advertising Pusat Pengembang Dokumentasi Acara Pemberian Lisensi Microsoft Learn Microsoft Research Lihat Peta Situs
Dua orang melihat tablet, seorang dari mereka menunjuk ke arah layar dalam suasana kantor.

Apa itu SOAR?

Pelajari tentang orkestrasi keamanan, otomatisasi, dan respons (SOAR), mengapa SOAR penting, dan bagaimana SOAR membantu menyederhanakan operasi keamanan cyber.

SOAR adalah solusi operasi keamanan yang membantu tim keamanan menyelidiki dan meremediasi ancaman dalam skala besar. Dengan menggunakan playbook untuk mengotomatiskan alur kerja, tim dapat mengurangi pekerjaan manual, meningkatkan konsistensi, dan merespons lebih cepat di seluruh alat keamanan.

  • SOAR membantu pusat operasi keamanan menstandarkan dan menskalakan respons insiden saat volume peringatan meningkat.
  • Alur kerja otomatis mengurangi beban kerja analis dan mempercepat penyelidikan, penanggulangan, dan remediasi.
  • Dengan mengorkestrasi tindakan di berbagai alat keamanan, SOAR meningkatkan konsistensi, visibilitas, dan efisiensi operasional.
  • Kemampuan SOAR modern makin banyak yang disematkan dalam security information and event management (SIEM) dan disempurnakan dengan alur kerja yang dibantu AI.

SOAR menjadi jelas

Tim operasi keamanan mengandalkan banyak alat untuk mendeteksi dan merespons ancaman. Tanpa orkestrasi, analis harus secara manual melakukan pivot antar sistem, mengumpulkan konteks, dan membuat keputusan di bawah tekanan—sehingga mengakibatkan waktu respons yang lambat, kelelahan akibat banyak peringatan, dan hasil yang tidak konsisten.

SOAR membantu mengatasi tantangan ini dengan mengkodifikasi proses respons ke alur kerja yang dapat diulang. Menggunakan playbook, tim dapat secara otomatis memperkaya peringatan, mengoordinasikan tindakan di seluruh alat, dan memandu analis melalui langkah penyelidikan dan respons yang konsisten—tanpa menghapus pengawasan manusia.

Cara kerja

Tiga kemampuan SOAR inti membantu tim SOC bekerja sama secara lebih efektif untuk melindungi organisasi mereka: orkestrasi keamanan, otomatisasi keamanan, dan respons insiden.

Orkestrasi keamanan

Orkestrasi keamanan adalah lapisan koordinasi. Layanan ini menghubungkan teknologi yang sudah ada, seperti SIEM, deteksi dan respons titik akhir (EDR), deteksi dan respons yang diperluas (XDR), perlindungan identitas, keamanan email, firewall, dan solusi inteligensi ancaman untuk memusatkan deteksi ancaman, penyelidikan, dan responsnya.

Misalnya, jika solusi SIEM mengidentifikasi kemungkinan penyusupan akun, solusi SOAR dapat:
 
  • Mengumpulkan data kontekstual secara otomatis dari sistem manajemen identitas.
  • Mereferensi silang upaya masuk dengan sumber kecerdasan ancaman untuk menilai risiko.
  • Memeriksa aktivitas pengguna di seluruh alat keamanan titik akhir untuk mencari tanda-tanda penyusupan atau gerakan lateral.
  • Mengambil riwayat masuk terakhir dari log akses.
  • Mengoordinasi respons di seluruh sistem yang relevan untuk menanggulangi ancaman.
Organisasi yang tidak memiliki solusi SOAR harus melakukan setiap langkah ini secara manual. Dengan orkestrasi, tim dapat membuat alur kerja yang memindahkan informasi di seluruh sistem dengan cara terstruktur.

Otomatisasi keamanan
Otomatisasi keamanan mengurangi beban kerja manual yang terkait dengan tugas berulang dan sensitif waktu. Dalam solusi SOAR, tim dapat membuat alur kerja yang menentukan tindakan langkah demi langkah untuk jenis insiden tertentu, seperti:

  • Memperkaya peringatan dengan kecerdasan ancaman.
  • Mengumpulkan data kontekstual dari titik akhir atau sistem identitas.
  • Memblokir alamat IP berbahaya.
  • Menonaktifkan akun yang disusupi.
  • Memberi tahu pemangku kepentingan dan mendokumentasikan tindakan.
Dengan mengotomatiskan langkah-langkah ini, tim keamanan dapat merespons dengan lebih cepat dan konsisten, terutama selama kejadian dengan volume tinggi.

Respons insiden
Karena keamanan SOAR mengagregat dan menganalisis data dari beberapa solusi, solusi ini menyediakan dasbor terpusat untuk mengelola respons insiden. Hal ini mempermudah untuk menghubungkan peringatan di seluruh sistem yang berbeda dan menyelidiki ancaman lintas domain.

Organisasi juga menggunakan solusi SOAR untuk menstandarkan bagaimana mereka menanggulangi, meremediasi, dan mendokumentasikan insiden. Tim tidak lagi mengandalkan pengalaman analis individu saja, melainkan mengikuti alur kerja yang telah ditentukan sebelumnya yang memandu mereka dalam merespons insiden. Hal ini dapat membantu organisasi dalam menerapkan tata kelola yang lebih kuat, akuntabilitas yang lebih jelas, dan hasil yang lebih mudah diprediksi.

Fitur SOAR umum

Selain kemampuan orkestrasi keamanan, otomatisasi, dan respons insiden, sebagian besar solusi SOAR memiliki serangkaian fitur tambahan inti.

Playbook
Playbook adalah alur kerja yang telah ditentukan sebelumnya yang menguraikan cara menangani jenis insiden tertentu. Playbook menerjemahkan pengetahuan institusional ke dalam proses yang terstruktur dan berulang, sehingga siapa pun karyawan atau timnya, pendekatannya tetap konsisten. Playbook mungkin menentukan cara menyelidiki peringatan pengelabuan, merespons dugaan penyusupan kredensial, atau mengandung infeksi malware.

Manajemen insiden dan manajemen kasus
Banyak solusi SOAR yang menyertakan kemampuan manajemen insiden atau kasus bawaan, yang memungkinkan tim melacak penyelidikan dari peringatan awal hingga resolusi. Fitur ini membantu menyederhanakan manajemen insiden dengan menyediakan tempat terpusat untuk mengoordinasikan tindakan dan menjaga visibilitas selama proses.

Pelaporan dan analitik
Keamanan SOAR menghasilkan laporan dan dasbor yang memberikan wawasan tentang efektivitas operasional. Analitik keamanan cyber sering kali meliputi waktu rata-rata untuk mendeteksi (MTTD), waktu rata-rata untuk merespons (MTTR), volume peringatan, penggunaan playbook, dan tingkat resolusi.

Alasan harus mengadopsi SOAR

Setelah mengadopsi kemampuan orkestrasi, otomatisasi, dan respons keamanan, organisasi sering melihat peningkatan yang terukur dalam efisiensi dan konsistensi. Pada saat yang sama, implementasi memerlukan perencanaan dan penyelarasan yang matang.

Manfaat SOAR

Respons insiden dan penanggulangan ancaman yang lebih cepat
Dengan mengotomatiskan pengayaan, triase, dan tindakan respons, solusi SOAR mengurangi penundaan antara deteksi dan remediasi. Hal ini membantu mempersingkat waktu respons dan membatasi dampak insiden.

Peningkatan efisiensi operasional
Organisasi menggunakan kemampuan otomatisasi untuk menangani banyak tugas berulang, sehingga memungkinkan analis untuk fokus pada penyelidikan yang lebih penting.

Kepatuhan yang lebih kuat dan kesiapan audit
Alur kerja terstruktur dan dokumentasi otomatis mendukung persyaratan peraturan dan proses tata kelola internal dengan membuat catatan yang jelas tentang cara organisasi menangani insiden.

Kolaborasi yang lebih baik
Manajemen kasus terpusat dan alur kerja terpadu menyediakan tampilan operasional bersama untuk keamanan, TI, dan pemangku kepentingan lainnya.

Pengambilan keputusan yang lebih baik
Metrik performa dan data tren memungkinkan pemimpin mengidentifikasi hambatan, memperbaiki playbook, dan mengalokasikan sumber daya secara lebih efektif.

Tantangan penerapan SOAR

Desain dan upaya perencanaan di muka
SOAR yang efektif memerlukan proses yang jelas dan playbook yang dirancang dengan baik. Mengotomatiskan alur kerja yang tidak jelas atau tidak konsisten dapat mengakibatkan gesekan, bukan efisiensi.

Risiko otomatisasi berlebihan
Tanpa pagar pembatas yang tepat, otomatisasi dapat memicu hambatan—seperti penonaktifan akun atau pengisolasian sistem—pada saat yang tidak tepat, sehingga membuat pengawasan manusia menjadi penting.

Penanggung jawab operasional dan tata kelola
Alur kerja SOAR harus dipelihara, diberi versi, dan terus ditingkatkan. Tanpa penanggung jawab yang jelas, playbook dapat menjadi kedaluwarsa atau terlalu kompleks.

Keterampilan dan manajemen perubahan

Teams memerlukan keahlian keamanan dan keterampilan desain alur kerja. Mungkin perlu waktu bagi analis untuk beradaptasi dengan operasi yang dibantu otomatisasi.

Cara organisasi menggunakan SOAR

SOAR memberikan manfaat terbanyak jika diterapkan ke proses keamanan dengan volume tinggi dan berulang. Dengan mengkodifikasi alur kerja ke playbook, tim merespons lebih konsisten sementara analis tetap dapat mengawasi hal-hal yang paling penting.

Respons pengelabuan otomatis
Phishing adalah kasus penggunaan yang paling tepat untuk keamanan SOAR karena tim keamanan dibanjiri dengan email yang mencurigakan dalam jumlah besar yang memerlukan investigasi. Untuk mengurangi waktu respons dan membatasi penyebaran lateral, organisasi membuat playbook SOAR yang:
 
  • Menyerap peringatan dari alat keamanan email atau laporan pengguna.
  • Mengekstrak indikator seperti URL, lampiran, atau domain pengirim.
  • Memperkaya indikator tersebut dengan kecerdasan ancaman.
  • Memeriksa pesan serupa di seluruh lingkungan.
  • Mengarantina email berbahaya secara otomatis.
  • Membuat kasus dukungan dan mendokumentasikan semua tindakan.
Pengayaan inteligensi ancaman
Ketika melakukan triase peringatan, analis perlu memahami siapa yang berada di balik ancaman, apa artinya bagi organisasi, apa jenis ancamannya, dan cara kerjanya. Alur kerja SOAR tidak mengumpulkan konteks ini secara manual, melainkan secara otomatis memperkaya peringatan dengan:
 
  • Mengkueri umpan kecerdasan ancaman internal dan eksternal.
  • Memeriksa indikator terhadap infrastruktur berbahaya yang diketahui.
  • Mengumpulkan konteks titik akhir atau identitas.
  • Mengorelasi peringatan terkait.
Triase dan eskalasi insiden
SOC biasanya dibanjiri oleh peringatan, banyak di antaranya adalah risiko tingkat rendah. Untuk mempermudah memprioritaskan pekerjaan secara efektif—dan agar bergerak lebih cepat—analis menggunakan alur kerja SOAR untuk:
 
  • Menetapkan tingkat keparahan secara otomatis berdasarkan kriteria yang ditentukan sebelumnya.
  • Merutekan insiden ke tim atau analis yang bersangkutan.
  • Memicu alur kerja eskalasi saat ambang terpenuhi.
  • Melacak status dan waktu resolusi.
Respons penyusupan akun
Untuk mempersingkat waktu respons ketika ada potensi penyusupan kredensial, banyak organisasi menggunakan solusi SOAR untuk mengotomatiskan langkah-langkah penanggulangan. Alur kerja ini:
 
  • Memvalidasi peringatan terhadap sinyal identitas.
  • Menonaktifkan atau mereset akun yang disusupi.
  • Mencabut sesi aktif.
  • Memberi tahu orang yang terkena imbas.
  • Mendokumenkan tindakan untuk peninjauan kepatuhan.
Koordinasi manajemen kerentanan
Tim keamanan sering kali perlu mengoordinasikan remediasi dengan seluruh tim TI dan infrastruktur. Solusi SOAR memudahkan hal tersebut. Organisasi dapat membuat alur kerja yang:

  • Menyerap hasil pemindaian kerentanan sehingga semua tim meninjau data yang sama.
  • Memprioritaskan temuan berdasarkan skor risiko agar semua orang bisa satu suara dalam hal masalah yang paling mendesak.
  • Membuat tiket dalam sistem manajemen layanan TI agar tim mengetahui siapa yang bertanggung jawab atas apa.
  • Melacak kemajuan remediasi agar semua tim mengetahui perkembangan status untuk setiap peringatan atau insiden.
  • Membuat laporan untuk pimpinan yang meringkas temuan kerentanan, kemajuan remediasi, dan kondisi keamanan secara keseluruhan.
Praktik terbaik

Strategi untuk menggunakan SOAR secara efektif

Organisasi yang memiliki keberhasilan jangka panjang menyelaraskan teknologi SOAR dengan proses yang ditentukan dengan jelas, tujuan realistis, dan tanggung jawab operasional yang kuat. Praktik terbaik meliputi:

Mulai dengan tujuan yang jelas

Pimpinan bagian keamanan harus dimulai dengan mengidentifikasi area utama di mana solusi SOAR dapat berdampak paling besar, seperti insiden volume tinggi yang menghabiskan waktu analis, hambatan dalam penyelidikan, dan metrik yang memerlukan penyempurnaan, seperti MTTR.

Prioritaskan alur kerja yang berdampak tinggi dan dapat diulang

Tidak semua proses harus segera diotomatisasi. Sebaiknya mulai dengan alur kerja kritis dan rutin yang dipahami dengan baik dan mengikuti jalur keputusan yang konsisten. Kandidat mencakup penyelidikan pengelabuan, pengayaan peringatan, penguncian akun, pengaturan ulang kata sandi, dan alur kerja pembuatan tiket.

Desain playbook dengan pengawasan manusia

Meskipun otomatisasi adalah manfaat utama dari sistem SOAR, namun harus selalu mendukung, bukan mengganti, penilaian manusia. Playbook yang dirancang dengan baik mencakup poin keputusan di mana peninjauan manusia diperlukan, terutama untuk tindakan yang dapat mengganggu operasi bisnis, seperti menonaktifkan akun atau mengisolasi sistem.

Berinvestasi dalam perencanaan integrasi

SOAR memberikan manfaat paling besar ketika berfungsi dengan baik dengan sistem keamanan yang ada seperti alat deteksi, manajemen identitas, perlindungan titik akhir, lingkungan cloud, dan sistem tiket. Pendekatan bertahap membantu mengurangi risiko dan memberikan waktu kepada tim untuk menstabilkan dan menyempurnakan sistem.

Menetapkan tata kelola dan tanggung jawab

Penanggung jawab solusi SOAR yang jelas sangat penting untuk mencegah alur kerja terkuras dan konfigurasi yang tidak konsisten. Organisasi harus menentukan siapa yang memiliki otoritas untuk membuat atau mengubah playbook dan membuat kontrol versi dan mengubah proses manajemen.

Latih tim secara terus-menerus

Keterlibatan analis dan keahlian teknis sangat penting untuk keberhasilan implementasi SOAR. Organisasi harus menawarkan pelatihan berkelanjutan untuk terus memperbarui tim dengan prinsip desain playbook terbaru, logika otomatisasi, jalur eskalasi, dan standar dokumentasi insiden.

Ke depannya

Seiring dengan berkembangnya operasi keamanan, SOAR sudah tidak lagi sekadar automasi berbasis aturan yang statis tetapi merupakan alur kerja yang lebih adaptif dan berdasarkan kecerdasan. Kemampuan SOAR modern berfokus pada membantu tim menskalakan respons mereka, mengurangi upaya manual, dan mengoordinasikan tindakan di seluruh lingkungan yang semakin kompleks. Beberapa tren utama yang membentuk generasi keamanan SOAR berikutnya adalah:
 
  • Pembuatan playbook dengan dukungan bahasa alami: AI Generatif membuat otomatisasi SOAR lebih mudah diakses dengan memungkinkan analis membuat, memperbarui, dan menyempurnakan playbook menggunakan bahasa alami. Hal ini mengurangi hambatan dalam melakukan otomatisasi, mempercepat pengembangan playbook, dan memungkinkan tim keamanan— tidak hanya spesialis otomatisasi—untuk mengoperasikan alur kerja SOAR.
  • Pembelajaran berkelanjutan dan otomatisasi adaptif: Solusi SOAR generasi berikutnya menggabungkan loop tanggapan dan mekanisme pembelajaran yang memvalidasi hasil dan menyesuaikan respons seiring waktu. SOAR tidak menjalankan otomatisasi satu kali, tetapi makin belajar dari insiden sebelumnya untuk meningkatkan akurasi dan efektivitas.
  • Perluasan di luar respons pascaperingatan: SOAR tidak lagi terbatas pada respons pascaperingatan. Organisasi menerapkan otomatisasi SOAR lebih awal dan akhir dalam siklus hidup keamanan—sehingga mendukung aktivitas pra-peringatan seperti korelasi sinyal dan pengayaan, serta tugas pasca-insiden seperti pelaporan, pelacakan remediasi, dan kontrol pembaruan. Cakupan yang lebih luas ini meningkatkan kualitas deteksi sekaligus mengurangi overhead operasional.
  • SOAR sebagai bidang kontrol untuk sistem otonom: Karena AI agenik dan identitas non-manusia menjadi lebih umum, SOAR muncul sebagai lapisan orkestrasi terpusat untuk mengelola tindakan otonom dengan aman. Hal ini mencakup alat mengoordinasi alat, memberlakukan pagar pembatas, dan mempertahankan visibilitas di seluruh lingkungan yang kompleks dan saling terhubung.
  • Integrasi yang lebih mendalam di seluruh sistem keamanan: Meskipun label SOAR mungkin menjadi kurang menonjol, vendor keamanan makin menyematkan kemampuannya dalam solusi operasi SIEM, XDR, dan keamanan yang lebih luas. Hal ini memberikan orkestrasi yang lebih efisien, konteks bersama, dan respons yang konsisten di seluruh lingkungan hibrid dan multicloud.

Solusi Microsoft Security SOAR

Saat organisasi mengevaluasi solusi SOAR, penting untuk mempertimbangkan bagaimana solusi tersebut akan mendukung tujuan keamanan mereka saat ini dan setelah SOC mereka berkembang. Banyak perusahaan yang beralih ke solusi seperti Microsoft Sentinel, solusi SIEM asli cloud yang menggabungkan kemampuan SOAR. Dengan menggabungkan SIEM dan SOAR dalam satu solusi, Microsoft Sentinel membantu tim keamanan mengumpulkan dan menganalisis data di seluruh pengguna, perangkat, aplikasi, dan infrastruktur sekaligus mengotomatiskan alur kerja yang telah ditentukan sebelumnya. Microsoft Sentinel juga dibuat untuk dapat digunakan dengan Microsoft Defender XDR untuk menyediakan solusi operasi keamanan terpadu, dan dapat disambungkan ke berbagai alat keamanan untuk memberikan cakupan menyeluruh. Dengan Microsoft Sentinel, pimpinan keamanan memiliki alat untuk membangun SOC yang terstruktur, terukur, dan tangguh.

Tanya jawab umum

  • Respons otomatis pengaturan keamanan (SOAR) digunakan untuk mengoordinasikan dan mengotomatiskan tugas operasi keamanan, termasuk triase peringatan, pengayaan inteligensi ancaman, respons insiden, dan manajemen kasus. Hal ini membantu tim keamanan menstandarkan alur kerja, mengurangi upaya manual, dan meningkatkan konsistensi respons di seluruh pusat operasi keamanan.
  • SOAR adalah singkatan dari orkestrasi keamanan, otomatisasi, dan respons. Hal ini merujuk pada kategori solusi keamanan yang mengintegrasikan alat, mengotomatiskan tugas berulang, dan memandu respons insiden terstruktur melalui alur kerja yang telah ditentukan.
  • Orkestrasi keamanan menghubungkan dan mengoordinasikan beberapa alat keamanan sehingga dapat beroperasi sebagai bagian dari alur kerja terpadu. Otomatisasi keamanan berfokus terutama pada pengurangan upaya manual dengan menyelesaikan tugas yang telah ditentukan sebelumnya secara otomatis dalam alur kerja tersebut.
  • Security Information and Event Management (SIEM) mengumpulkan dan menganalisis data keamanan untuk mendeteksi potensi ancaman. Solusi orkestrasi, otomatisasi, dan respons keamanan (SOAR) membantu tim merespons dengan mengotomatiskan pengayaan, alat koordinasi, dan proses standarisasi.
  • Orkestrasi keamanan, otomatisasi, dan respons (SOAR) membantu mengurangi waktu rata-rata untuk merespons (MTTR), meningkatkan efisiensi operasional, dan mendukung kepatuhan melalui dokumentasi dan pelaporan terstruktur. SOAR juga mempererat kolaborasi dan mendorong operasi keamanan yang lebih konsisten dan terukur.

Ikuti Microsoft Security