Interview Prep
BAB 5 PERSIAPAN INTERVIEW
05
Interview: Networking & Security Fundamentals
Jelaskan perbedaan TCP dan UDP.
TCP (Transmission Control Protocol):
Connection-oriented, reliable, ada three-way handshake
(SYN→SYN-ACK→ACK), ada acknowledgment dan retransmission. Digunakan
untuk HTTP, SSH, FTP. UDP (User Datagram Protocol):
Connectionless, unreliable tapi lebih cepat, tidak ada handshake.
Digunakan untuk DNS, DHCP, streaming, VoIP.
Apa itu CIA Triad?
Tiga pilar keamanan informasi:
Confidentiality (hanya yang berwenang bisa akses
data), Integrity (data tidak diubah tanpa
otorisasi), Availability (sistem selalu tersedia
saat dibutuhkan). Setiap keputusan security harus mempertimbangkan
ketiga aspek ini.
Sebutkan perbedaan Symmetric dan Asymmetric encryption.
Symmetric: Satu kunci untuk encrypt dan decrypt
(AES, DES). Cepat, digunakan untuk data at-rest. Tantangan:
distribusi kunci. Asymmetric: Dua kunci public
key untuk encrypt, private key untuk decrypt (RSA, ECC). Lebih
lambat, digunakan untuk key exchange, digital signature, HTTPS.
Apa perbedaan antara Vulnerability, Threat, dan Risk?
Vulnerability: Kelemahan dalam sistem (contoh:
software unpatched). Threat: Potensi penyebab
insiden yang bisa mengeksploitasi vulnerability (contoh: hacker,
malware). Risk: Kemungkinan threat mengeksploitasi
vulnerability dan dampaknya. Risk = Threat × Vulnerability × Impact.
Jelaskan OSI Model dan di layer mana firewall bekerja.
OSI memiliki 7 layer: Physical, Data Link, Network, Transport,
Session, Presentation, Application.
Packet-filtering firewall bekerja di Layer 3-4 (IP,
port). NGFW (Next-Gen Firewall) bekerja di Layer
3-7, bisa inspect application layer (deep packet inspection).
Apa itu DNS dan bagaimana bisa disalahgunakan?
DNS menerjemahkan domain ke IP address. Penyalahgunaan:
DNS Tunneling (mengirim data melalui DNS query
untuk bypass firewall),
DNS Spoofing/Cache Poisoning (memalsukan DNS
response), DGA (Domain Generation Algorithm
malware yang generate domain C2 secara acak).
Apa perbedaan IDS dan IPS?
IDS (Intrusion Detection System): Passive, hanya
mendeteksi dan alert. Diletakkan out-of-band (mirror port).
IPS (Intrusion Prevention System): Inline, bisa
mendeteksi DAN memblokir traffic. Risiko IPS: false positive bisa
memblokir traffic legitimate.
Sebutkan port-port penting yang harus diketahui SOC Analyst.
HTTP: 80, HTTPS: 443, FTP: 21, SSH: 22, Telnet: 23, SMTP: 25, DNS:
53, DHCP: 67/68, POP3: 110, IMAP: 143, SNMP: 161, LDAP: 389, SMB:
445, RDP: 3389, MySQL: 3306, PostgreSQL: 5432.
Apa itu Zero Trust Architecture?
"Never trust, always verify." Prinsipnya: tidak ada entitas (user,
device, network) yang dipercaya secara default, bahkan yang sudah di
dalam jaringan. Setiap akses harus di-authenticate, di-authorize,
dan terus diverifikasi. Komponen: mikrosegmentasi, least privilege,
continuous verification, MFA.
Apa perbedaan Authentication dan Authorization?
Authentication (AuthN): Memverifikasi identitas
"Siapa kamu?" (login, biometrik, MFA).
Authorization (AuthZ): Menentukan hak akses "Apa
yang boleh kamu lakukan?" (role-based access, file permissions).
Authentication selalu terjadi sebelum authorization.
Interview: SIEM & Tools
Apa itu SIEM dan bagaimana cara kerjanya?
SIEM (Security Information and Event Management) mengumpulkan log
dari berbagai sumber (firewall, server, endpoint, aplikasi),
menormalisasi formatnya, mengkorelasikan event berdasarkan rules,
dan menghasilkan alert. SIEM juga menyimpan log untuk forensik dan
compliance. Contoh: Splunk, QRadar, Sentinel, ELK.
Apa perbedaan SIEM dan SOAR?
SIEM: Fokus pada detection mengumpulkan,
korelasi, dan alert. SOAR: Fokus pada response
mengotomasi dan mengorkestrasi tindakan respons (auto-block IP,
auto-enrich IOC, auto-create ticket). SOAR mengambil output dari
SIEM dan menjalankan playbook otomatis.
Jelaskan perbedaan antivirus tradisional dan EDR.
Antivirus: Signature-based, hanya bisa deteksi
malware yang diketahui, limited visibility.
EDR: Behavioral analysis, bisa deteksi fileless
malware dan zero-day, memberikan full visibility (process tree,
command line, network connection), kemampuan response (isolate, kill
process, quarantine).
Apa itu correlation rule di SIEM? Berikan contoh.
Correlation rule menggabungkan multiple event untuk mendeteksi pola
serangan yang tidak terlihat dari satu event saja. Contoh: "Jika ada
lebih dari 5 failed login (4625) diikuti 1 successful login (4624)
dari IP yang sama dalam 10 menit → alert Possible Brute Force
Success."
Sebutkan tools yang kamu gunakan untuk enrichment IOC.
IP: AbuseIPDB, Shodan, GreyNoise.
Hash: VirusTotal, Hybrid Analysis, Any.run.
Domain/URL: VirusTotal, URLhaus, URLScan.io, Whois.
General: AlienVault OTX, MISP, ThreatFox.
Sandbox: Any.run, Hybrid Analysis, Joe Sandbox.
Bagaimana kamu mengurangi false positive di SIEM?
1) Tuning rules adjust threshold, tambahkan exceptions untuk known
good activity. 2) Whitelist exclude IP/user/process yang
legitimate. 3) Korelasi gabungkan multiple conditions. 4) Baseline
pahami aktivitas normal sebelum menentukan anomali. 5) Feedback
loop dokumentasi FP untuk review berkala.
Apa itu Sysmon dan kenapa penting?
Sysmon (System Monitor) dari Sysinternals menyediakan logging yang
jauh lebih detail dari Windows Event Log default. Sysmon mencatat
process creation dengan full command line dan hash, network
connections per-process, file creation, registry changes, DNS
queries. Sangat penting untuk threat detection dan forensik.
Interview: Incident Response & Triage
Jelaskan fase Incident Response menurut NIST.
4 fase: 1) Preparation siapkan tools, SOP,
training. 2) Detection & Analysis monitor,
triage, analisis alert.
3) Containment, Eradication & Recovery isolasi
ancaman, hapus, pulihkan.
4) Post-Incident Activity lessons learned, update
rules. Sebagai L1, fokus utama di fase 2.
Apa perbedaan True Positive, False Positive, dan Benign Positive?
True Positive: Alert valid, ancaman nyata
terdeteksi → investigasi/eskalasi.
False Positive: Alert fired tapi bukan ancaman →
close, pertimbangkan tuning.
Benign Positive: Aktivitas yang terdeteksi memang
terjadi tapi bukan ancaman (misalnya pen test yang diotorisasi) →
close dengan dokumentasi.
Kamu menerima alert brute force. Apa langkah pertama?
1) Baca detail alert source IP, target, jumlah attempt, timeframe.
2) Cek apakah ada successful login setelah failed attempts (Event
4624 setelah 4625). 3) Enrichment: apakah IP internal/external?
Reputasi IP? 4) Jika berhasil → eskalasi segera, disable account.
Jika gagal & external → block IP. Jika gagal & internal →
investigasi endpoint.
Bagaimana kamu memprioritaskan alert jika ada banyak sekaligus?
Prioritas berdasarkan: 1) Severity Critical/High
duluan. 2) Asset value server production, DC,
database lebih prioritas dari workstation biasa. 3)
User role C-level, admin lebih kritis dari user
biasa. 4) Stage of attack active attack (C2,
exfiltration) lebih urgent dari reconnaissance.
Apa yang kamu lakukan jika menemukan alert yang tidak kamu pahami?
1) Baca dokumentasi alert/detection rule. 2) Cari di knowledge base
internal (wiki, confluence). 3) Lakukan riset dasar (Google, MITRE
ATT&CK). 4) Jika masih tidak yakin,
eskalasi ke L2 dengan temuan yang sudah ada lebih
baik eskalasi daripada melewatkan ancaman nyata. 5) Dokumentasi
untuk belajar di kemudian hari.
Apa itu chain of custody dan kenapa penting?
Chain of custody adalah dokumentasi yang mencatat siapa yang
menghandle bukti digital, kapan, dan apa yang dilakukan. Penting
karena: 1) Memastikan bukti tidak tercemar. 2) Diperlukan jika kasus
masuk proses hukum. 3) Menjamin integritas investigasi. Termasuk:
timestamps, hash values, siapa yang akses.
Kapan kamu harus eskalasi alert ke L2?
Eskalasi ketika: 1) Alert dikonfirmasi True Positive. 2) Severity
High/Critical. 3) Kamu membutuhkan akses atau kemampuan di luar
scope L1 (forensik mendalam, malware analysis). 4) Alert melibatkan
data sensitif atau aset kritis. 5) Kamu tidak yakin setelah
investigasi awal selalu lebih baik eskalasi daripada miss threat.
Jelaskan perbedaan Containment jangka pendek dan jangka panjang.
Short-term: Aksi segera untuk menghentikan
penyebaran isolasi host dari jaringan, disable akun, block
IP/domain. Long-term: Solusi lebih permanen sambil
mempersiapkan eradication patch vulnerability, rebuild system,
segmentasi jaringan, harden konfigurasi.
Interview: Log Analysis
Sebutkan Windows Event ID yang paling penting untuk SOC.
4624: Successful logon.
4625: Failed logon. 4648: Logon
with explicit credentials. 4672: Special privileges
assigned. 4720: User account created.
4732: Member added to security group.
4688: Process creation. 7045: New
service installed. 1102: Audit log cleared.
4698: Scheduled task created.
Apa arti Logon Type 3 dan Type 10 di Event 4624?
Type 3 (Network): Login melalui jaringan SMB file
share, network printer, dll.
Type 10 (RemoteInteractive): Login via RDP. Dalam
konteks security: Type 10 dari IP tak dikenal → investigasi
(unauthorized RDP). Type 3 berulang dari satu source ke banyak
target → kemungkinan lateral movement.
Event ID 1102 kenapa sangat penting?
Event ID 1102 berarti Security Audit Log telah di-clear. Ini adalah
anti-forensic technique attacker menghapus log
untuk menghilangkan jejak. Alert 1102 harus selalu ditangani serius
karena: 1) Admin jarang clear log secara manual. 2) Jika log
di-clear setelah serangan → konfirmasi bahwa attacker mencoba
menutupi aktivitasnya.
Bagaimana kamu menganalisis log Linux untuk mendeteksi brute force
SSH?
Cek
/var/log/auth.log (Debian) atau
/var/log/secure (RHEL). Cari pattern:
grep "Failed password" /var/log/auth.log | awk '{print $11}' |
sort | uniq -c | sort -rn. Ini menampilkan IP dengan failed login terbanyak. Jika ada
ratusan failure dari satu IP → brute force. Cek juga
"Accepted password" setelahnya.
Apa yang kamu cari di DNS logs?
1) DGA domains: Query ke domain random panjang
(contoh: a8x9k2mq1.xyz). 2) DNS tunneling: Query
yang sangat sering dengan subdomain panjang (data encoded di
subdomain). 3) Known malicious domains cocokkan
dengan threat intel. 4) High volume: Endpoint yang
membuat unusually banyak DNS queries. 5) Query ke TXT records yang
tidak biasa.
Seorang user melaporkan komputernya lambat. Apa yang kamu cek di
log?
1) EDR/Sysmon: Proses yang menggunakan CPU/memory
tinggi, proses asing. 2) Network: Apakah ada
traffic outbound besar (miner, C2 beacon). 3)
Event Log: Error, crash, service failure. 4)
Scheduled tasks: Task baru yang mencurigakan. 5)
Startup programs: Autorun entries baru di registry.
Interview: Threat Knowledge
Apa itu MITRE ATT&CK dan bagaimana kamu menggunakannya?
MITRE ATT&CK adalah knowledge base global tentang taktik dan teknik
adversary. Saya menggunakannya untuk: 1) Mapping alert ke technique
tertentu (contoh: failed login → T1110 Brute Force). 2) Memahami
kemungkinan langkah selanjutnya dari attacker. 3) Membuat/tuning
detection rules. 4) Komunikasi dengan tim menggunakan bahasa
standar.
Jelaskan Cyber Kill Chain dan di fase mana L1 Analyst paling
berperan.
7 fase: Reconnaissance → Weaponization → Delivery → Exploitation →
Installation → C2 → Actions on Objectives. L1 paling berperan di
fase Delivery (deteksi phishing),
Installation (alert EDR/AV), dan
C2 (network anomaly). Semakin awal kita memutus
kill chain, semakin kecil dampaknya.
Apa perbedaan IOC dan IOA?
IOC (Indicator of Compromise): Bukti setelah
serangan hash malware, C2 IP, malicious domain. Mudah dibagikan
tapi attacker bisa mengubahnya.
IOA (Indicator of Attack): Perilaku mencurigakan
saat serangan berlangsung encoded PowerShell, unusual process
parent, process injection. Lebih sulit dihindari attacker.
Apa itu Pyramid of Pain?
Framework David Bianco yang menunjukkan tingkat kesulitan bagi
attacker jika defender mendeteksi jenis indikator tertentu. Dari
mudah ke sulit: Hash (trivial diubah) →
IP → Domain →
Network Artifacts →
Host Artifacts → Tools →
TTPs (paling sulit diubah). Deteksi berbasis TTP
paling efektif.
Apa itu ransomware dan bagaimana cara mendeteksinya?
Ransomware mengenkripsi file korban dan meminta tebusan (biasanya
cryptocurrency). Deteksi: 1) Alert EDR behavioral detection. 2)
Banyak file rename dengan ekstensi baru (.encrypted, .locked). 3)
Ransom note file (readme.txt). 4) Volume Shadow Copies dihapus
(vssadmin delete shadows). 5) Spike traffic SMB (lateral spread). 6)
Koneksi ke C2/payment site.
Apa itu fileless malware dan kenapa sulit dideteksi?
Fileless malware beroperasi sepenuhnya di memory tanpa menulis file
ke disk, sehingga antivirus berbasis file scan tidak bisa
mendeteksinya. Biasanya menggunakan tool legitimate seperti
PowerShell, WMI, atau makro Office. Deteksi: monitoring command line
(Sysmon Event 1), behavioral analysis (EDR), memory scanning, script
block logging.
Jelaskan teknik lateral movement yang umum.
1) Pass-the-Hash: Menggunakan NTLM hash tanpa perlu
password plaintext. 2) PsExec: Remote execution via
SMB. 3) RDP: Remote Desktop ke server lain. 4)
WMI: Windows Management Instrumentation untuk
remote execution. 5)
PowerShell Remoting:
Enter-PSSession/Invoke-Command. Deteksi: monitor Event 4648, logon
type 3/10, SMB traffic antar workstation.
Apa perbedaan phishing, spear phishing, dan whaling?
Phishing: Email massal ke banyak target (generic,
low effort). Spear Phishing: Ditargetkan ke
individu/organisasi tertentu (personalized, researched).
Whaling: Spear phishing yang menargetkan C-level
executive (CEO, CFO). Semakin targeted, semakin sulit dideteksi dan
semakin tinggi potensi dampaknya.
Interview: Scenario-Based Questions
User melaporkan menerima email dari CEO meminta transfer uang
mendesak. Apa yang kamu lakukan?
1) Jangan langsung blokir analisis dulu. 2) Cek email header:
Return-Path, SPF/DKIM/DMARC, IP pengirim. 3) Apakah domain di-spoof
atau pakai domain mirip (typosquatting)? 4) Ini kemungkinan BEC
(Business Email Compromise) atau whaling. 5) Konfirmasi ke CEO via
channel berbeda (telepon). 6) Jika confirmed phishing: block domain,
purge email, alert finance team, eskalasi.
Alert menunjukkan PowerShell dengan -EncodedCommand dari proses
Word. Apa artinya?
Ini sangat kemungkinan malicious macro. Word
spawning PowerShell sudah red flag besar, apalagi dengan encoded
command. Langkah: 1) Cek parent-child process tree. 2) Decode Base64
command. 3) Lihat apakah ada download payload. 4) Isolasi endpoint
via EDR. 5) Cari dokumen Word source siapa pengirim, siapa lagi
yang menerima. 6) Eskalasi sebagai HIGH.
Kamu melihat traffic DNS yang sangat tinggi dari satu endpoint ke
domain dengan subdomain sangat panjang. Apa kemungkinannya?
Kemungkinan besar DNS tunneling attacker
menggunakan DNS protocol untuk exfiltrate data atau establish C2
channel. Data diencode di subdomain (contoh: base64data.evil.com).
Langkah: 1) Isolasi endpoint. 2) Analisis domain tujuan. 3) Cek
payload di subdomain. 4) Block domain. 5) Cek endpoint untuk
malware. 6) Eskalasi ke L2.
Pada pukul 2 pagi, kamu melihat admin account login dan menjalankan
mimikatz. Bagaimana responmu?
Ini sangat kemungkinan compromised account atau
insider threat. Mimikatz adalah tool credential
dumping (LSASS dump). Langkah: 1)
CRITICAL eskalasi segera. 2)
Isolasi endpoint. 3) Disable account. 4) Cek apakah credentials
sudah didump bisa digunakan untuk lateral movement. 5) Cek
aktivitas dari account tersebut sebelum dan sesudah event. 6) Waktu
2 AM menambah kecurigaan.
SIEM menunjukkan 1000 alerts dalam 1 jam. Apa yang kamu lakukan?
1) Jangan panik cek apakah ini storm alert dari satu sumber/rule.
2) Group alerts by source, type, severity. 3) Apakah ini artifact
dari deployment/maintenance? (cek change management). 4) Jika dari
satu rule → mungkin perlu tuning. 5) Jika beragam dan valid →
mungkin active attack, eskalasi ke SOC Manager. 6) Prioritas: handle
Critical/High dulu.
User mendownload file executable dari email. AV tidak mendeteksi.
Apa langkahmu?
1) Ambil hash file dari EDR. 2) Submit ke VirusTotal mungkin
terlalu baru (zero-day). 3) Submit ke sandbox (Any.run, Hybrid
Analysis) untuk behavioral analysis. 4) Cek apakah file sudah
dieksekusi. 5) Jika dieksekusi: cek process tree, network
connection, persistence. 6) Jika belum: quarantine file. 7) Eskalasi
dengan semua findings.
Bagaimana kamu membedakan port scan yang legitimate dari yang
malicious?
1) Source: Apakah dari IP internal
(IT/vulnerability scanner seperti Nessus/Qualys) atau external? 2)
Schedule: Cek change management ada scan
terjadwal? 3) Scope: Scanner legit biasanya scan
range tertentu; attacker scan random atau wide. 4)
Speed: Automated scanners punya pattern konsisten.
5) Jika tidak ada justifikasi → treat as suspicious.
Kamu menemukan Event ID 7045 (new service installed) di domain
controller. Apa aksimu?
Service baru di DC sangat kritis. 1) Cek nama service apakah
legitimate (Windows Update, IT tool) atau random/suspicious? 2) Cek
binary path apakah dari lokasi standar atau temp/unusual folder?
3) Cek siapa yang install (account). 4) Cross-reference dengan
change management. 5) Jika tidak ada approval →
HIGH eskalasi, ini bisa jadi
persistence mechanism dari attacker yang sudah compromise DC.
Tips Interview SOC L1
| # | Tips | Detail |
|---|---|---|
| 1 | Jelaskan proses berpikir | Interviewer ingin tahu HOW you think, bukan hanya jawaban akhir. Jelaskan step-by-step: "Pertama saya akan cek X, lalu Y, karena Z..." |
| 2 | Jangan takut bilang "tidak tahu" | Lebih baik jujur lalu jelaskan bagaimana kamu akan mencari jawabannya, daripada mengarang jawaban yang salah. |
| 3 | Siapkan pengalaman hands-on | Setup home lab (TryHackMe, HackTheBox, CyberDefenders). Interviewer terkesan jika kamu bisa ceritakan pengalaman nyata menganalisis log/alert. |
| 4 | Hafal Event IDs penting | Minimal: 4624, 4625, 4648, 4720, 4732, 7045, 1102. Ini hampir pasti ditanyakan. |
| 5 | Pahami workflow, bukan hanya teori | "Apa langkah kamu ketika..." adalah pertanyaan favorit. Jawab dengan workflow jelas: triage → enrich → validate → action → document. |
| 6 | Tunjukkan eagerness to learn | SOC L1 adalah entry-level interviewer tahu kamu belum ahli. Yang mereka cari: passion, curiosity, dan willingness to learn. |
| 7 | Kenali tools yang disebutkan di job posting | Jika posting menyebut Splunk/Sentinel/CrowdStrike, setidaknya pahami dasar penggunaannya (free tier/community edition tersedia). |
| 8 | Siapkan pertanyaan untuk interviewer | "Berapa analyst per shift?", "SIEM apa yang digunakan?", "Bagaimana proses eskalasi?", "Apakah ada training program?" |
| 9 | Latihan scenario-based | Buat skenario sendiri: "Jika saya melihat alert X, saya akan..." latih sampai natural. |
| 10 | Highlight soft skills | Communication, teamwork, stress management, attention to detail. SOC adalah lingkungan 24/7 yang membutuhkan kerja tim. |
Sertifikasi yang Direkomendasikan
| Sertifikasi | Vendor | Level | Fokus | Biaya (est.) |
|---|---|---|---|---|
| CompTIA Security+ | CompTIA | Entry | Security fundamentals, framework, risk management | ~$400 |
| SC-200 | Microsoft | Associate | Microsoft Sentinel, Defender, KQL | ~$165 |
| BTL1 | Security Blue Team | Entry-Mid | Hands-on blue team: SIEM, phishing, forensics, threat intel | ~$400 |
| CySA+ | CompTIA | Mid | Security analytics, threat detection, IR | ~$400 |
| CEH | EC-Council | Mid | Ethical hacking, penetration testing basics | ~$1,200 |
| Splunk Core Certified User | Splunk | Entry | Splunk search, reports, dashboards | ~$130 |
| Google Cybersecurity Certificate | Google/Coursera | Entry | Security foundations, Linux, SQL, SIEM, Python | ~$50/bulan |
Rekomendasi urutan: Untuk SOC L1, mulai dari
CompTIA Security+ atau
Google Cybersecurity Certificate sebagai fondasi,
lalu BTL1 atau SC-200 untuk hands-on
skills yang langsung relevan.
Resources Belajar
Platform Hands-On (Gratis/Freemium)
| Platform | Fokus | Catatan |
|---|---|---|
| TryHackMe | SOC Level 1 path, blue team rooms | Path "SOC Level 1" sangat direkomendasikan |
| LetsDefend | SOC Analyst simulator | Simulasi alert triage seperti SOC nyata |
| CyberDefenders | Blue team CTF challenges | PCAP analysis, memory forensics, SIEM |
| HackTheBox Academy | Security fundamentals & advanced | Module SOC Analyst tersedia |
| Splunk Free | Belajar Splunk SPL | Community edition, 500MB/day ingest |
| Any.run | Malware sandbox | Free community plan lihat malware behavior |
YouTube Channels
- John Hammond Malware analysis, CTF walkthroughs
- 13Cubed DFIR, Windows forensics deep dive
- NetworkChuck Networking & security basics
- The Cyber Mentor (TCM) Ethical hacking, security career
- David Bombal Networking, security tools
- MyDFIR SOC Analyst projects, home lab setup
Buku & Dokumentasi
- The Practice of Network Security Monitoring Richard Bejtlich
- Blue Team Handbook: SOC, SIEM, and Threat Hunting Don Murdoch
- NIST SP 800-61 Rev.2 Incident Handling Guide (gratis)
- MITRE ATT&CK documentation attack.mitre.org (gratis)
Home Lab Project Ideas
- Setup ELK Stack di VM → ingest Windows Event Logs → buat detection rules
- Setup Wazuh (free SIEM/XDR) → monitor Windows + Linux VM
- Analyze malware samples di Any.run → dokumentasikan IOC
- Solve CyberDefenders challenges → tulis write-up
- Build detection lab: Atomic Red Team (simulate attacks) + Sysmon + SIEM
Pro Tip: Buat blog/GitHub repo untuk
mendokumentasikan proses belajarmu. Tulis write-up dari setiap
lab/challenge yang kamu selesaikan. Ini sangat mengesankan interviewer
dan menunjukkan dedication serta kemampuan dokumentasi.