img

SOC dalam MDR: Cara Kerjanya Melindungi Infrastruktur Perusahaan


2026-07-02 - Arfadia


SOC dalam MDR adalah unit operasional inti yang mengintegrasikan tim analis keamanan, proses investigasi terstruktur, dan teknologi XDR. Unit ini bekerja memantau, mendeteksi, dan merespons ancaman siber terhadap infrastruktur perusahaan secara real-time.

Di Indonesia, layanan SOC dalam MDR yang dihadirkan Sysware semakin kritis seiring meluasnya attack surface korporat akibat adopsi cloud, remote work, dan perangkat endpoint yang tidak selalu berada di bawah kendali tim IT internal.

Tanpa SOC, MDR hanyalah tumpukan teknologi deteksi yang menghasilkan alert tanpa tindakan.

Analis SOC menentukan apakah sebuah anomali merupakan false positive atau tanda awal serangan yang sedang berjalan. 

Mereka menelusuri kill chain, memvalidasi indikator kompromi (IOC), mengidentifikasi teknik penyerang berdasarkan MITRE ATT&CK, dan mengeksekusi containment sebelum serangan menyebar ke seluruh jaringan.

Urgensi ini didukung data. IBM Cost of a Data Breach Report 2025 mencatat rata-rata biaya pelanggaran data global mencapai USD 4,44 juta per insiden. 

Lebih spesifik, breach yang diidentifikasi oleh tim keamanan internal membutuhkan biaya USD 1 juta lebih rendah dibanding yang ditemukan oleh pihak luar, membuktikan bahwa kecepatan dan kapabilitas deteksi internal berdampak langsung pada besarnya kerugian.

BSSN mencatat lebih dari 3,64 miliar anomali trafik siber di Indonesia pada Januari–Juli 2025, menegaskan peningkatan signifikan ancaman siber yang dihadapi organisasi di berbagai sektor. 


Poin Utama Artikel 

  • SOC dalam MDR adalah kombinasi tim berlapis, proses investigasi terstruktur, dan teknologi XDR dalam siklus tidak terputus.

  • Breach yang ditemukan tim internal menghabiskan biaya USD 1 juta lebih rendah dibanding yang ditemukan pihak luar (IBM 2025).

  • Siklus operasional SOC mencakup 6 tahapan, dari pengumpulan telemetri hingga continuous improvement berbasis NIST dan MITRE ATT&CK.

  • SOC internal, MSSP, dan MDR berbeda fundamental pada kemampuan respons aktif dan efisiensi biaya operasional.

  • Empat kriteria evaluasi SOC MDR: MTTD/MTTR terverifikasi, cakupan attack surface penuh, referensi MITRE ATT&CK, dan transparansi kepemilikan data.


Apa Itu SOC dalam MDR dan Mengapa Bukan Sekadar Ruangan Penuh Monitor

SOC dalam konteks MDR bukan hanya infrastruktur fisik. Ini adalah kombinasi tim, proses, dan teknologi yang bekerja dalam siklus berkelanjutan untuk menjaga visibilitas penuh atas seluruh attack surface perusahaan. 

Sebuah SOC yang matang terdiri dari beberapa tier: analis Tier-1 yang melakukan triage awal, analis Tier-2 yang menangani investigasi lebih dalam, dan Tier-3 atau threat hunter yang secara proaktif mencari ancaman tersembunyi sebelum menghasilkan alert.

Yang membedakan SOC dalam MDR dari monitoring konvensional adalah kemampuan respons aktif. 

Untuk memahami mengapa perbedaan ini begitu signifikan, perlu diperjelas bahwa EDR adalah perangkat lunak agen yang berjalan di latar belakang setiap endpoint, merekam setiap eksekusi proses, modifikasi file sistem, perubahan registry, hingga aktivitas koneksi jaringan secara berkelanjutan. 

Inilah yang menjadi bahan baku utama investigasi SOC dan membedakannya secara fundamental dari sekadar solusi monitoring pasif.

Ketika EDR mendeteksi proses yang mencurigakan di endpoint, SOC tidak hanya mencatat eventnya.

Apa itu SOC dalam perusahaan?

Apa itu SOC? Pusat operasi keamanan (SOC) meningkatkan kemampuan deteksi ancaman, respons, dan pencegahan organisasi dengan menyatukan dan mengoordinasikan semua teknologi dan operasi keamanan siber.

Analis menelusuri apakah proses tersebut bagian dari living-off-the-land attack menggunakan tools bawaan Windows seperti PowerShell atau WMI, apakah ada lateral movement ke host lain, dan apakah sudah terjadi privilege escalation. 

Kedalaman analisis inilah yang menentukan apakah sebuah insiden dapat dihentikan dalam menit atau berakhir sebagai full-scale breach.

Dalam ekosistem MDR, SOC juga bertanggung jawab membangun dan memperbarui playbook respons insiden. 

Setiap kategori serangan, dari ransomware hingga Business Email Compromise, memiliki prosedur eskalasi dan tindakan containment yang sudah terdefinisi. Ini memastikan respons yang konsisten dan terukur, bukan keputusan ad hoc di bawah tekanan insiden aktif.


6 Tahapan Operasional SOC dalam Siklus Kerja MDR

SOC dalam MDR beroperasi dalam siklus yang tidak pernah berhenti. Setiap tahapan saling berkaitan, dan output dari satu tahapan menjadi input untuk tahapan berikutnya.

Tabel Matriks Operasional SOC dalam MDR

TahapanAktivitas UtamaTools / TeknologiOutputReferensi Framework
1. Monitoring & CollectionPengumpulan log dari endpoint, jaringan, cloud, email, identity system secara real-timeEDR, XDR, log aggregatorTelemetri terpusat, visibilitas penuh attack surfaceNIST CSF 2.0: Identify, Detect
2. Korelasi & DeteksiKorelasi event lintas sumber, deteksi pola anomali berbasis behavioral analytics dan threat intelligencemachine learning, threat intel platformAlert terprioritasi, eliminasi alert noiseMITRE ATT&CK: Taktik dan TTP penyerang
3. Triage & InvestigasiValidasi alert oleh analis manusia, root cause analysis, penentuan scope dampak dan kill chainForensic tools, playbook investigasiLaporan investigasi, severity classification, rekomendasi tindakanNIST SP 800-61r3: Incident Handling
4. Respons & ContainmentIsolasi endpoint, blokir IP/domain, nonaktifkan akun, patch darurat, putus koneksi C2EDR response actions, API, identity managementAncaman dihentikan, lateral movement dicegah, blast radius diminimalkanNIST CSF 2.0: Respond, Recover
5. Threat HuntingPencarian proaktif IOC dan TTP tersembunyi yang belum memicu alert otomatisThreat intel feeds, behavioral analysis, dark web monitoringAncaman laten teridentifikasi sebelum dieksekusiMITRE ATT&CK: Pre-ATT&CK, Discovery
6. Reporting & ImprovementLaporan eksekutif dan teknis, rekomendasi hardening, audit trail untuk complianceDashboard MDR, reporting tools, dokumentasi insidenLaporan insiden, analisis tren, rekomendasi perbaikan kontrolNIST CSF 2.0: Govern, Recover

Sumber: NIST SP 800-61r3, NIST Cybersecurity Framework 2.0, MITRE ATT&CK Framework, IBM Cost of a Data Breach 2024, Red Canary Threat Detection Report 2025.

Tahap 1 dan 2: Dari Sensor ke Deteksi Bermakna

Deployment sensor adalah fondasi visibilitas. EDR dipasang di setiap endpoint, log jaringan dikumpulkan, cloud workload terhubung via API ke platform MDR, dan sistem identitas seperti Active Directory atau Azure AD dipantau untuk login anomali. 

Semua telemetri ini mengalir ke platform analitik terpadu untuk dikorelasikan secara otomatis. XDR merupakan penyempurnaan kritis dari pendekatan SIEM konvensional karena tidak sekadar mengumpulkan log. 

Platform ini secara aktif mengkorelasikan sinyal dari endpoint, jaringan, cloud, dan identitas pengguna dalam satu konteks terpadu.

Hasilnya, analis SOC dapat melihat gambaran utuh serangan lintas domain tanpa harus berpindah-pindah antar konsol yang terpisah.

Tanpa korelasi, setiap event tampak terisolasi. Satu login gagal tidak berarti apa-apa. Namun 200 login gagal dari 15 IP berbeda dalam 10 menit, diikuti oleh satu login berhasil yang langsung mengakses folder sensitif, adalah pola credential stuffing yang jelas. 

Console Bitdefender Gravityzone  dan machine learning mengidentifikasi pola ini, lalu analis SOC menentukan apakah ini butuh eskalasi segera atau cukup masuk watchlist.

Tahap 3 dan 4: Investigasi dan Respons yang Menentukan

Triage adalah tahap yang paling menguji kualitas SOC. Alert fatigue adalah masalah nyata dalam operasi keamanan; organisasi besar bisa menerima ribuan alert per hari. Tanpa kemampuan triage yang baik, ancaman kritis tenggelam dalam noise. 

SOC dalam MDR yang matang mengklasifikasikan setiap alert berdasarkan severity, konteks bisnis, dan potensi dampak, lalu memprioritaskan respons secara proporsional.

Ketika investigasi mengkonfirmasi ancaman nyata, respons tidak menunggu persetujuan berlapis. Endpoint yang teridentifikasi sebagai titik kompromi diisolasi dari jaringan untuk menghentikan lateral movement. 

Akun yang dikompromikan dinonaktifkan. Koneksi ke command-and-control server diblokir di level firewall. Semua tindakan ini dieksekusi dalam hitungan menit, bukan jam, dan didokumentasikan secara otomatis untuk keperluan forensik dan compliance.

Tahap 5 dan 6: Threat Hunting dan Continuous Improvement

Threat hunting adalah yang paling membedakan MDR dari layanan monitoring biasa. Penyerang yang sophisticated sengaja bergerak lambat, menggunakan tools yang legitimate, dan menghindari teknik yang sudah terdokumentasi dalam signature database. 

Threat hunter aktif mencari indikasi seperti penggunaan PowerShell yang tidak lazim, scheduled task baru yang dibuat oleh akun non-admin, atau traffic keluar ke domain yang baru terdaftar. 

Framework MITRE ATT&CK menjadi referensi utama untuk memahami TTP yang aktif digunakan di lanskap ancaman global.

Setelah setiap siklus insiden, SOC menghasilkan laporan yang mencakup ringkasan insiden dalam bahasa bisnis, root cause yang teridentifikasi, tindakan yang sudah diambil, dan rekomendasi spesifik untuk menutup celah yang dieksploitasi. 

Rekomendasi inilah yang menggerakkan perbaikan postur keamanan secara berkelanjutan.

Ancaman yang Paling Sering Ditangani SOC dalam Operasi MDR

SOC dalam MDR menghadapi spektrum ancaman yang luas, namun beberapa kategori secara konsisten mendominasi volume insiden yang ditangani.

  1. Ransomware dengan Teknik Pre-Encryption Staging

Sebelum enkripsi dimulai, penyerang menghabiskan waktu untuk reconnaissance, credential harvesting, dan eksfiltrasi data. SOC mendeteksi fase ini melalui anomali volume transfer data dan perilaku akun yang tidak biasa.

  1. Credential-Based Attacks dan Account Takeover

Dengan maraknya data breach, kombinasi username dan password jutaan akun tersedia di dark web. Penyerang menggunakannya untuk credential stuffing atau password spraying terhadap portal login korporat, VPN, dan aplikasi cloud.

  1. Lateral Movement Pasca-Compromise

Begitu satu endpoint dikompromikan, penyerang bergerak horizontal ke sistem lain menggunakan teknik seperti pass-the-hash, Kerberoasting, atau penyalahgunaan remote administration tools. SOC mendeteksinya melalui monitoring traffic internal yang anomali.

  1. Cloud Misconfiguration Exploitation

Bucket storage dengan akses publik, IAM policy yang terlalu permisif, atau environment variable yang mengandung API key adalah vektor masuk yang aktif dieksploitasi. SOC yang mencakup cloud control plane dapat mendeteksi perubahan konfigurasi yang tidak terotorisasi.

  1. Fileless Malware dan Living-off-the-Land Attacks

teknik ini menggunakan komponen sistem yang legitimate seperti PowerShell, WMI, dan certutil untuk menjalankan payload berbahaya tanpa meninggalkan file di disk. 

Ini adalah celah mendasar yang tidak dapat ditutup hanya dengan mengandalkan antivirus software merk mana pun. Serangan jenis ini tidak meninggalkan file berbahaya yang dapat dicocokkan dengan database signature konvensional. 

Yang dibutuhkan adalah pemantauan perilaku secara real-time oleh EDR yang dikelola tim SOC berpengalaman.


Perbedaan Teknis SOC Internal, MSSP, dan SOC dalam MDR

Ketiga model ini sering digunakan secara bergantian, padahal ketiganya memiliki karakteristik operasional yang berbeda secara fundamental.

SOC Internal

Memberikan kontrol penuh atas seluruh proses, tools, dan personel keamanan. Perusahaan dapat mengkustomisasi setiap aspek sesuai kebutuhan industri dan regulasi spesifik. 

Tantangannya adalah biaya dan sumber daya, membutuhkan minimal 6–8 analis untuk menutup seluruh shift 24/7, belum termasuk biaya lisensi SIEM, EDR, threat intelligence platform, dan infrastruktur pendukungnya. Talent keamanan siber juga langka dan sangat kompetitif di pasar Indonesia.

MSSP (Managed Security Service Provider)

Umumnya menyediakan pengelolaan perangkat keamanan dan monitoring berbasis alert. 

Efektif untuk compliance monitoring dan log management, tetapi sebagian besar tidak memiliki kapabilitas respons aktif. Ketika ancaman terdeteksi, MSSP hanya mengirimkan notifikasi dan tindakan selanjutnya kembali ke tim internal klien. 

Ini menciptakan gap respons yang signifikan, terutama di luar jam kerja.

SOC dalam MDR

Menutup gap tersebut dengan menyediakan kemampuan respons aktif sebagai bagian integral dari layanan. Tim SOC MDR tidak hanya mendeteksi dan melaporkan, tetapi juga mengambil tindakan containment langsung. 

Model berlangganan MDR memungkinkan perusahaan menengah mendapatkan kapabilitas setara SOC enterprise tanpa membangun infrastruktur dari nol, dan dapat dijalankan secara hybrid di mana tim internal tetap memegang keputusan strategis.


4 Kriteria Teknis untuk Mengevaluasi Kualitas SOC dalam Layanan MDR

Memilih provider MDR berdasarkan klaim marketing adalah risiko operasional. Evaluasi yang tepat harus berbasis metrik yang terukur dan dapat diverifikasi melalui referensi klien aktual.

  1. MTTD dan MTTR yang Terdokumentasi dari Insiden Nyata

Standar minimum yang harus tercantum dalam SLA dengan klausul penalti adalah Mean Time to Detect (MTTD) di bawah 1 jam dan Mean Time to Respond (MTTR) di bawah 4 jam. 

Minta data historis dari insiden aktual, bukan angka rata-rata dari simulasi. Provider yang tidak dapat menyajikan data ini belum memiliki operasional SOC yang matang.

  1. Coverage Attack Surface yang Komprehensif

SOC MDR yang efektif harus mencakup endpoint, jaringan, cloud environment termasuk SaaS, sistem email, dan identity provider dalam satu kerangka monitoring terintegrasi. 

Provider yang hanya meng-cover endpoint atau jaringan saja meninggalkan blind spot signifikan, terutama untuk perusahaan yang sudah bermigrasi sebagian besar workload ke cloud.

  1. Penggunaan MITRE ATT&CK sebagai Referensi Deteksi

Framework ini adalah standar industri untuk memetakan taktik dan teknik penyerang berdasarkan observasi nyata. SOC yang tidak menggunakannya menunjukkan pendekatan deteksi yang reaktif dan terbatas. 

Tanyakan secara spesifik berapa persen teknik dalam matriks ATT&CK yang dicakup oleh detection rules mereka.

  1. Transparansi Laporan dan Kepemilikan Data

Semua log, laporan insiden, dan dokumentasi investigasi adalah aset milik perusahaan klien, bukan provider. Pastikan kontrak mencantumkan hak kepemilikan data secara eksplisit. 

Laporan yang baik harus tersedia dalam dua format: teknis untuk tim IT, dan ringkasan eksekutif untuk manajemen non-teknis yang menyajikan risiko dalam konteks bisnis.


Kapabilitas SOC Enterprise, Tanpa Harus Membangunnya Sendiri 

Empat kriteria di atas bukan sekadar checklist teoritis, melainkan standar operasional yang setiap hari dijalankan oleh tim MDR Bitdefender dalam melindungi infrastruktur klien di berbagai sektor industri Indonesia.

MDR Bitdefender beroperasi dalam siklus penuh yang tidak pernah berhenti: dari pengumpulan telemetri lintas endpoint dan cloud, korelasi event berbasis machine learning, hingga triage oleh analis berpengalaman yang memahami konteks bisnis klien secara mendalam. 

Ketika ancaman terkonfirmasi, tindakan containment dieksekusi langsung tanpa menunggu eskalasi berlapis, sesuai playbook yang telah teruji di berbagai skenario serangan nyata.

Bagi perusahaan menengah yang selama ini merasa kapabilitas SOC enterprise berada di luar jangkauan, Bitdefender menghadirkan model yang berbeda: akses ke keahlian, teknologi, dan proses kelas dunia dengan struktur biaya berlangganan yang transparan dan dapat disesuaikan dengan skala bisnis Anda. 

Tidak perlu membangun dari nol selama 12 hingga 24 bulan. Tim MDR Bitdefender dapat aktif melindungi infrastruktur Anda dalam waktu yang jauh lebih singkat.

Ingin melihat langsung bagaimana MDR Bitdefender bekerja? Hubungi kami untuk demo operasional dan diskusi teknis tanpa kewajiban. 

Tim kami siap menjelaskan bagaimana setiap lapisan perlindungan diimplementasikan sesuai kebutuhan spesifik industri Anda.


Mengapa Dukungan Lokal Menentukan Keberhasilan Implementasi MDR 

Memilih platform MDR yang tepat adalah satu hal. Memastikan implementasinya berjalan dengan benar di infrastruktur lokal adalah hal yang sama pentingnya.

Sysware Indonesia, Value Added Distributor resmi Bitdefender sejak September 2016 dan berstatus VAD penuh sejak 2025, hadir untuk menjawab kebutuhan itu. Tim teknisnya mendampingi proses deployment sensor EDR, integrasi cloud dan jaringan ke platform GravityZone, hingga memastikan alur eskalasi antara tim IT klien dengan SOC Bitdefender berjalan tanpa hambatan.

Sebelum implementasi dimulai, Sysware menyediakan asesmen kesiapan keamanan mencakup pemetaan attack surface, identifikasi gap visibilitas, dan kalkulasi ROI berdasarkan kondisi infrastruktur aktual. Ditambah keberadaan kantor lokal resmi Bitdefender di Indonesia, setiap keputusan investasi MDR dapat dilandasi data yang terukur dan didukung respons teknis yang memadai.

Hubungi tim Sysware melalui syswareindonesia.com untuk asesmen teknis dan demo platform GravityZone tanpa biaya.


FAQ

  1. Apa itu SOC dalam MDR dan bagaimana cara kerjanya melindungi infrastruktur perusahaan? 

SOC dalam MDR memadukan tim analis, EDR, dan XDR untuk memantau infrastruktur secara real-time. Siklus kerjanya mencakup pengumpulan telemetri, korelasi event, investigasi, containment aktif, threat hunting, hingga pelaporan berkelanjutan. 

  1. Bagaimana SOC dalam MDR menangani alert fatigue? 

Melalui tiga mekanisme: korelasi machine learning yang menyaring noise sebelum sampai ke analis, sistem triage berbasis severity dan konteks bisnis, serta playbook otomatis untuk insiden yang sudah terdefinisi. 

  1. Kapan perusahaan sebaiknya memilih SOC dalam MDR dibanding membangun SOC internal sendiri? 

SOC internal tepat untuk perusahaan dengan anggaran besar dan kebutuhan kustomisasi tinggi. MDR lebih efisien untuk perusahaan menengah yang butuh coverage 24/7 tanpa overhead rekrutmen; MDR dapat aktif dalam hitungan minggu, SOC internal butuh 12–24 bulan. 


Sumber

  1. https://www.bssn.go.id

  2. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf

  3. https://www.nist.gov/cyberframework

  4. ttps://attack.mitre.org

  5. https://www.ibm.com/reports/data-breach

  6. https://www.verizon.com/business/resources/reports/dbir/

  7. https://redcanary.com/threat-detection-report/

Back to all news