Security Information and Event Management (SIEM) merupakan tulang punggung operasional Security Operation Center (SOC). Sistem ini mengumpulkan, mengkorelasi, dan menganalisis log dari berbagai sumber untuk mendeteksi potensi ancaman keamanan.
Namun, tanpa konfigurasi yang tepat, SIEM justru dapat menjadi sumber masalah baru. Ribuan alert setiap hari—sebagian besar di antaranya false positive—dapat menyebabkan alert fatigue, menurunkan efektivitas analis SOC, dan bahkan membuat ancaman nyata terlewat. Fenomena ini dikenal luas sebagai tantangan utama dalam operasi SOC modern.
Apa Itu False Positive dalam Konteks SIEM
False positive adalah kondisi ketika SIEM memicu alert atas aktivitas yang sebenarnya normal atau tidak berbahaya.
Alert palsu yang berlebihan dapat menimbulkan beberapa dampak serius:
Waktu analis habis untuk investigasi yang tidak perlu
Penurunan fokus terhadap insiden kritikal
Burnout pada personel SOC
Meningkatnya Mean Time to Detect (MTTD) ancaman nyata
Mengapa SIEM Menghasilkan Terlalu Banyak Alert
Masalah false positive jarang disebabkan oleh tool SIEM itu sendiri, melainkan oleh cara implementasinya.
Rule Deteksi yang Terlalu Generik
Banyak organisasi menggunakan rule bawaan (default rule) tanpa penyesuaian konteks lingkungan. Rule generik sering kali tidak memahami perbedaan antara:
Aktivitas administratif normal
Perilaku user internal
Pola trafik bisnis yang sah
Akibatnya, aktivitas rutin dapat terdeteksi sebagai anomali.
Kurangnya Konteks dan Enrichment Data
Alert tanpa konteks (user, asset criticality, lokasi, waktu) akan selalu terlihat mencurigakan. Tanpa enrichment data, SIEM sulit membedakan antara noise dan ancaman nyata.
Konsep Dasar SIEM Tuning
SIEM tuning adalah proses berkelanjutan untuk menyesuaikan rule, threshold, dan korelasi agar alert yang dihasilkan lebih relevan dan berkualitas.
Berikut beberapa pendekatan yang umum digunakan dalam praktik SOC profesional.
Penyesuaian Threshold dan Severity
Tidak semua event harus menghasilkan alert kritikal. Threshold perlu disesuaikan berdasarkan:
Frekuensi kejadian
Jam operasional
Peran user atau sistem
Dengan penyesuaian severity, analis dapat fokus pada alert yang benar-benar berisiko tinggi.
Whitelist Aktivitas yang Terverifikasi
Aktivitas seperti:
Backup otomatis
Vulnerability scanning internal
Job scheduler sering kali memicu alert palsu. Aktivitas ini sebaiknya di-whitelist setelah diverifikasi aman.
Menggabungkan Korelasi Multi-Event
Single event jarang cukup untuk menentukan serangan. Korelasi beberapa indikator (misalnya login gagal + privilege escalation + akses abnormal) akan menghasilkan alert yang jauh lebih akurat.
Peran Feedback SOC dalam SIEM Tuning
SIEM tuning tidak bisa dipisahkan dari pengalaman analis SOC.
Closed-Loop Tuning Process
Setiap alert yang ditandai sebagai false positive harus:
Didokumentasikan
Dianalisis penyebabnya
Digunakan untuk memperbaiki rule deteksi
Pendekatan closed-loop ini memastikan SIEM terus belajar dari insiden sebelumnya.
SIEM tanpa tuning yang tepat bukan hanya tidak efektif, tetapi juga berpotensi berbahaya. False positive yang berlebihan dapat melumpuhkan tim SOC dan membuka celah bagi serangan yang sebenarnya.
Melalui penyesuaian rule, enrichment data, korelasi event, dan feedback berkelanjutan dari analis SOC, SIEM dapat berubah dari sekadar mesin penghasil alert menjadi sistem deteksi ancaman yang presisi dan bernilai strategis.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
