Bab X SOC L1 & L2 Analyst

Containment Decision Matrix

Faktor	Pertimbangan
Business Impact	Apakah isolasi host akan mengganggu operasi kritis? Production server vs workstation biasa
Spread Potential	Apakah malware bisa menyebar (worm)? Apakah attacker sudah lateral movement?
Evidence Preservation	Apakah containment akan menghancurkan evidence? (memory dump dulu sebelum shutdown)
Attacker Awareness	Apakah attacker akan sadar kita merespons? Perlu koordinasi timing?

Teknik Containment

          SHORT-TERM CONTAINMENT:
          ├── Network isolation via EDR (preferred reversible) ├── VLAN
          segmentation pindahkan host ke quarantine VLAN ├── Firewall rules
          block C2 IP/domain (ingress + egress) ├── Disable user account jika
          credential compromised ├── DNS sinkhole redirect malicious domain ke
          internal server └── Email purge hapus email phishing dari semua
          mailbox

          LONG-TERM CONTAINMENT:
          ├── Patch vulnerability yang dieksploitasi ├── Deploy additional
          monitoring di area terdampak ├── Harden configuration (disable macro,
          PowerShell constrained mode) ├── Implement network segmentation jika
          belum ada └── Credential rotation untuk semua affected accounts

          CRITICAL RULE:
          Selalu ambil memory dump SEBELUM shutdown/reboot!
          Volatility evidence hilang setelah power off.
        

Eradication Checklist

Remove malware: Delete/quarantine semua file malicious (termasuk droppers, secondary payloads)
Remove persistence: Hapus registry keys, scheduled tasks, services, startup entries yang dibuat attacker
Patch vulnerability: Fix entry point yang digunakan (patch software, update rules)
Credential reset: Reset SEMUA credentials yang mungkin compromised bukan hanya yang diketahui
Rebuild if needed: Jika kompromi terlalu dalam (rootkit, DC compromised), rebuild dari image bersih
Verify clean: Scan ulang, monitor untuk re-infection, validate semua IOC sudah di-block

Recovery Steps

Restore dari backup yang bersih (verify integrity sebelum restore)
Bring system back online secara bertahap mulai dari non-critical
Enhanced monitoring selama periode pasca-insiden (30-90 hari)
Validate bahwa business operations berjalan normal
Pantau IOC terkait attacker sering kembali dengan teknik berbeda

RCA menjawab pertanyaan fundamental: "Bagaimana dan mengapa ini bisa terjadi?" bukan hanya "apa yang terjadi."

5 Whys Technique

          Insiden: Ransomware mengenkripsi file
          server

          Why 1: Kenapa file server terenkripsi? →
          Ransomware dieksekusi dengan privilege admin

          Why 2: Kenapa attacker punya privilege
          admin? → Attacker dump credentials dari workstation finance via
          Mimikatz

          Why 3: Kenapa workstation finance bisa
          di-compromise? → User membuka attachment malicious dari email phishing

          Why 4: Kenapa email phishing lolos filter?
          → Email gateway tidak mendeteksi macro di file .docm

          Why 5: Kenapa macro bisa dijalankan? →
          ROOT CAUSE: Macro policy tidak di-enforce
          user bisa enable macro tanpa approval

          Remediation: Implement GPO untuk disable
          macro dari untrusted sources + Upgrade email gateway detection rules +
          Deploy application whitelisting
        

Struktur Incident Report

          1. EXECUTIVE SUMMARY
          Ringkasan non-teknis untuk management (1 paragraf) - Apa yang terjadi,
          dampak bisnis, status saat ini

          2. INCIDENT TIMELINE
          Kronologi event dari awal sampai resolusi - Gunakan format tabel:
          Timestamp | Source | Event | Action

          3. SCOPE OF COMPROMISE
          - Sistem/user yang terdampak - Data yang diakses/exfiltrated - Lateral
          movement path

          4. TECHNICAL ANALYSIS
          - Attack vector (bagaimana masuk) - Tactics, Techniques, Procedures
          (mapping ke MITRE ATT&CK) - IOCs (hash, IP, domain, file path,
          registry key) - Evidence screenshots & log excerpts

          5. CONTAINMENT & ERADICATION
          - Tindakan yang diambil - Status setiap affected system

          6. ROOT CAUSE ANALYSIS
          - Penyebab utama - Faktor kontribusi (control gaps)

          7. RECOMMENDATIONS
          - Short-term fixes (immediate) - Long-term improvements (strategic) -
          Detection rule improvements

          8. APPENDIX
          - Full IOC list - Raw log samples - Tool output / screenshots
        

Tips Report Writing: Tulis Executive Summary terakhir (setelah semua analisis selesai). Gunakan bahasa yang jelas dan hindari asumsi setiap klaim harus didukung evidence. Bedakan antara fakta dan assessment/hipotesis.

BAB 7 ADVANCED INCIDENT RESPONSE

Containment Strategy

Containment Decision Matrix

Teknik Containment

Eradication & Recovery

Eradication Checklist

Recovery Steps

Root Cause Analysis (RCA)

5 Whys Technique

Incident Report Writing

Struktur Incident Report