Beginner
BAB 1 FONDASI
01
Apa itu SOC & Peran L1 Analyst
Security Operations Center (SOC)
SOC adalah pusat komando keamanan siber sebuah organisasi. Tim SOC bertugas memantau, mendeteksi, menganalisis, dan merespons insiden keamanan siber secara real-time, 24/7/365. SOC menggunakan kombinasi teknologi, proses, dan tenaga ahli untuk melindungi aset digital organisasi.
Struktur Tim SOC
| Level | Peran | Tanggung Jawab |
|---|---|---|
| L1 | Triage Analyst | Monitoring alert, triage awal, eskalasi, dokumentasi dasar |
| L2 | Incident Responder | Investigasi mendalam, containment, analisis malware dasar |
| L3 | Threat Hunter / SME | Threat hunting proaktif, reverse engineering, forensic |
| Manager | SOC Manager | Strategi, metrik, manajemen tim, pelaporan ke CISO |
Tugas Harian SOC L1 Analyst
- Memantau dashboard SIEM untuk alert baru
- Melakukan triage menentukan apakah alert adalah True Positive, False Positive, atau Benign Positive
- Menganalisis log, network traffic, dan endpoint data
- Membuat tiket insiden dan mendokumentasikan temuan
- Eskalasi insiden yang valid ke L2/L3
- Mengikuti Standard Operating Procedures (SOP) dan playbook
- Melakukan korelasi alert untuk mengidentifikasi pola serangan
Key Mindset: Seorang
L1 Analyst yang baik bukan hanya "klik dan eskalasi" kamu harus
memahami konteks dari setiap alert dan mampu membedakan
aktivitas normal dari anomali.
Dasar-Dasar Networking
OSI Model 7 Layer
OSI Model adalah framework standar untuk memahami bagaimana data bergerak melalui jaringan. Sebagai SOC Analyst, kamu harus memahami setiap layer karena serangan bisa terjadi di level manapun.
| Layer | Nama | Protokol | Relevansi Security |
|---|---|---|---|
| 7 | Application | HTTP, DNS, SMTP, FTP | XSS, SQL Injection, phishing |
| 6 | Presentation | SSL/TLS, JPEG, ASCII | Encryption attacks, certificate issues |
| 5 | Session | NetBIOS, RPC | Session hijacking |
| 4 | Transport | TCP, UDP | Port scanning, SYN flood |
| 3 | Network | IP, ICMP, ARP | IP spoofing, MITM, routing attacks |
| 2 | Data Link | Ethernet, MAC | ARP spoofing, MAC flooding |
| 1 | Physical | Cables, Hubs | Physical tampering, wiretapping |
TCP/IP Model 4 Layer
Dalam praktik, TCP/IP model lebih sering digunakan: Application → Transport → Internet → Network Access.
TCP Three-Way Handshake
// Proses koneksi TCP normal: Client →
SYN → Server
// "Saya ingin konek" Server →
SYN-ACK → Client
// "OK, saya siap" Client →
ACK → Server
// "Koneksi terbuka"
// SYN Flood Attack: Attacker mengirim ribuan SYN tanpa ACK // →
Server kehabisan resource menunggu ACK → Denial of Service
Protokol Penting untuk SOC
| Protokol | Port | Fungsi | Yang Harus Diperhatikan |
|---|---|---|---|
| DNS | 53 | Resolusi nama domain ke IP | DNS tunneling, DGA, suspicious queries |
| HTTP | 80 | Web traffic (unencrypted) | Web attacks, C2 communication |
| HTTPS | 443 | Web traffic (encrypted) | Certificate anomalies, encrypted C2 |
| SMTP | 25 | Email sending | Phishing, spam, open relay |
| SSH | 22 | Secure remote access | Brute force, unauthorized access |
| RDP | 3389 | Remote Desktop (Windows) | Brute force, BlueKeep exploit |
| FTP | 21 | File transfer | Credential theft (plaintext), data exfil |
| DHCP | 67/68 | Auto IP assignment | DHCP spoofing, rogue DHCP server |
| SMB | 445 | File sharing (Windows) | EternalBlue, lateral movement |
| LDAP | 389 | Directory services | LDAP injection, enumeration |
Konsep Penting Lainnya
- IP Address: IPv4 (32-bit, contoh: 192.168.1.1) vs IPv6 (128-bit). Private ranges: 10.x.x.x, 172.16-31.x.x, 192.168.x.x
- Subnetting: Membagi jaringan menjadi segmen. CIDR notation: /24 = 255.255.255.0 (256 host)
- NAT: Menerjemahkan IP private ke public dan sebaliknya
- VLAN: Virtual segmentasi jaringan untuk isolasi traffic
- DNS Records: A (domain→IPv4), AAAA (→IPv6), MX (mail), CNAME (alias), TXT (SPF/DKIM/DMARC)
Dasar-Dasar Keamanan Siber
CIA Triad
Tiga pilar fundamental keamanan informasi:
| Pilar | Definisi | Contoh Serangan | Contoh Perlindungan |
|---|---|---|---|
| Confidentiality | Hanya pihak berwenang yang dapat mengakses data | Data breach, eavesdropping | Encryption, access control, DLP |
| Integrity | Data tidak diubah tanpa otorisasi | Data tampering, MITM | Hashing, digital signatures, checksums |
| Availability | Sistem dan data selalu tersedia saat dibutuhkan | DDoS, ransomware | Redundancy, backups, load balancing |
Authentication vs Authorization
| Konsep | Pertanyaan | Contoh |
|---|---|---|
| Authentication (AuthN) | "Siapa kamu?" | Login dengan username + password, MFA, biometrics |
| Authorization (AuthZ) | "Apa yang boleh kamu lakukan?" | Role-based access (admin vs user), file permissions |
Encryption Basics
| Tipe | Cara Kerja | Contoh | Use Case |
|---|---|---|---|
| Symmetric | 1 kunci untuk encrypt & decrypt | AES-256, DES, 3DES | Enkripsi data at-rest, VPN |
| Asymmetric | 2 kunci: public + private | RSA, ECC, Diffie-Hellman | HTTPS, email encryption, digital signatures |
| Hashing | One-way function, tidak bisa di-decrypt | SHA-256, MD5 (insecure), bcrypt | Password storage, file integrity |
Prinsip Security Lainnya
- Least Privilege: User hanya diberi akses minimum yang dibutuhkan
- Defense in Depth: Multiple layer pertahanan (firewall + IDS + EDR + SIEM)
- Zero Trust: "Never trust, always verify" tidak ada entitas yang dipercaya secara default
- Non-repudiation: Pelaku tidak bisa menyangkal aksinya (audit logs, digital signature)
- MFA: Minimal 2 dari: something you know, have, are
Jenis-Jenis Ancaman Siber
Kategori Malware
| Tipe | Cara Kerja | Contoh |
|---|---|---|
| Virus | Menempel ke file lain, butuh eksekusi user untuk menyebar | ILOVEYOU, Melissa |
| Worm | Menyebar sendiri melalui jaringan tanpa interaksi user | WannaCry, Conficker |
| Trojan | Menyamar sebagai software legit, membuka backdoor | Emotet, Zeus |
| Ransomware | Mengenkripsi data korban, meminta tebusan | LockBit, REvil, Conti |
| Spyware | Memata-matai aktivitas user (keylogger, screen capture) | Pegasus, FinFisher |
| Rootkit | Menyembunyikan kehadirannya di level kernel/OS | ZeroAccess, Necurs |
| RAT | Remote Access Trojan kontrol penuh jarak jauh | DarkComet, njRAT |
| Fileless | Berjalan di memory tanpa menyimpan file di disk | PowerShell-based attacks |
Serangan Berbasis Jaringan
| Serangan | Deskripsi | Indikator |
|---|---|---|
| DDoS | Membanjiri target dengan traffic dari banyak sumber | Spike traffic abnormal, banyak SYN tanpa ACK |
| MITM | Attacker menyisip di antara dua pihak komunikasi | Certificate warning, ARP anomaly |
| DNS Spoofing | Memanipulasi DNS response untuk redirect ke IP malicious | DNS cache anomaly, unexpected IP resolution |
| ARP Spoofing | Memalsukan ARP reply untuk intercept traffic lokal | Duplicate MAC, ARP table inconsistency |
Serangan Berbasis Aplikasi
| Serangan | Deskripsi | Contoh Payload |
|---|---|---|
| SQL Injection | Menyisipkan SQL query ke input untuk manipulasi database |
'; DROP TABLE users;--
|
| XSS | Menyisipkan script malicious ke halaman web |
<script>steal(cookie)</script>
|
| CSRF | Memaksa user yang sudah login melakukan aksi tanpa sadar | Hidden form submit di halaman lain |
| Brute Force | Mencoba semua kombinasi password secara otomatis | Ribuan login attempt dari 1 IP |
| Credential Stuffing | Menggunakan password yang bocor dari breach lain | Banyak username berbeda, login success rate rendah |
Social Engineering
- Phishing: Email palsu yang meniru organisasi terpercaya
- Spear Phishing: Phishing yang ditargetkan ke individu tertentu
- Whaling: Spear phishing yang menargetkan eksekutif/C-level
- Vishing: Phishing via telepon
- Smishing: Phishing via SMS
- Pretexting: Membuat skenario palsu untuk mendapatkan informasi
- Baiting: Meninggalkan USB drive berisi malware di tempat strategis
Dasar Sistem Operasi untuk Security
Windows Yang Harus Dikuasai
- Event Viewer: Lokasi utama untuk melihat security logs
- Registry: Database konfigurasi Windows sering digunakan malware untuk persistence
- Task Manager / Process Explorer: Identifikasi proses mencurigakan
- Services.msc: Lihat service yang berjalan
- Scheduled Tasks: Cek task yang dijadwalkan (sering dipakai untuk persistence)
- PowerShell: Scripting engine yang powerful (juga sering disalahgunakan attacker)
# Perintah Windows penting untuk SOC:
ipconfig /all
# Info network interface
netstat -ano
# Koneksi aktif + PID
tasklist
# Proses yang berjalan
wmic process list brief
# Detail proses
net user
# Daftar user lokal
net localgroup administrators
# Member grup admin
schtasks /query
# Lihat scheduled tasks
reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# Autorun
Linux Yang Harus Dikuasai
- File permissions: rwx (read/write/execute), chmod, chown
- /var/log/: Direktori utama untuk log system
- Crontab: Scheduled tasks di Linux (persistence mechanism)
- /etc/passwd & /etc/shadow: User accounts dan password hashes
# Perintah Linux penting untuk SOC:
ps aux
# Proses yang berjalan
netstat -tulnp
# Port yang listening
ss -tulnp
# Alternatif modern netstat
cat /var/log/auth.log
# Login attempts (Debian/Ubuntu)
cat /var/log/secure
# Login attempts (RHEL/CentOS)
last
# Login history
who
# User yang sedang login
find / -perm -4000 2>/dev/null
# Cari file SUID (privilege escalation)
crontab -l
# Lihat scheduled tasks
cat /etc/passwd
# Lihat user accounts
chmod 700 file.sh
# Ubah permission
grep "Failed" /var/log/auth.log
# Cari login gagal