Jam 2 pagi. Dashboard SIEM lu nge-flash merah — 3 alert baru muncul sekaligus. Yang pertama: brute force attempt ke SSH server production. Yang kedua: suspicious PowerShell execution di workstation finance. Yang ketiga: outbound traffic ke IP yang masuk threat intel blacklist.
Lu harus triase ketiganya dalam hitungan menit. Mana yang false positive, mana yang beneran ancaman, dan mana yang harus langsung di-eskalasi ke tim incident response. Welcome to the life of a SOC Analyst.
SOC Analyst Itu Ngapain?
SOC Analyst kerja di Security Operations Center — ruang komando keamanan siber sebuah organisasi. Tugas utamanya: monitor, detect, dan respond terhadap ancaman siber secara real-time. Kalo organisasi itu benteng, SOC analyst itu penjaga di menara pengawas yang mata-nya harus melek 24/7.
Secara spesifik, ini yang lu kerjain setiap hari:
- Monitor alert dari SIEM (Splunk, ELK, QRadar) — ratusan sampe ribuan alert per hari
- Triase insiden — bedain mana false positive, mana true positive yang perlu di-investigate
- Analisis log — firewall logs, endpoint logs, email gateway logs, proxy logs. Korelasiin buat nemuin pattern serangan
- Threat hunting — proaktif nyari ancaman yang belum ke-trigger alert
- Eskalasi — kalo nemuin ancaman serius, eskalasi ke Tier 2/3 atau incident response team
- Dokumentasi — setiap insiden harus didokumentasiin: apa yang terjadi, kapan, dampaknya apa, tindakan apa yang diambil
SOC Tier 1, 2, dan 3: Apa Bedanya?
SOC biasanya dibagi jadi tiga level:
SOC STRUCTURE
==============
[TIER 1 - TRIAGE]
| Monitor alert, filter noise, triase awal
| Entry point buat pemula
|
v
[TIER 2 - INVESTIGATION]
| Deep dive insiden, korelasi log, threat hunting
| Butuh 2-3 tahun experience
|
v
[TIER 3 - ADVANCED / HUNT]
Malware analysis, forensics, tuning detection rules
Senior level, 5+ tahun experienceTier 1 (Triage Analyst) — Lu yang pertama liat alert. Tugas lu filter: mana noise, mana yang beneran. Kalo beneran, lu bikin tiket dan eskalasi. Ini role entry-level yang paling banyak hiring. Lu ga perlu pengalaman bertahun-tahun — yang penting lu ngerti fundamentals dan bisa baca log.
Tier 2 (Investigation Analyst) — Lu dapet tiket dari Tier 1, terus deep dive. Analisis log lebih detail, korelasiin data dari berbagai sumber, tentuin severity dan scope serangan. Lu juga mulai bikin detection rules baru dan tuning yang udah ada.
Tier 3 (Advanced / Threat Hunter) — Lu proaktif nyari ancaman yang belum ke-detect. Reverse engineer malware, analisis memory dump, bikin custom detection. Ini level senior yang butuh skill deep dan pengalaman bertahun-tahun.
Buat pemula, target lu: Tier 1. Dari situ lu naik organik.
Sehari Jadi SOC Analyst
Biar lebih kebayang, ini simulasi satu hari kerja SOC analyst Tier 1:
08:00 — Shift mulai. Lu baca handover notes dari shift sebelumnya. Ada 2 insiden ongoing yang masih di-monitor.
08:30 — Cek dashboard SIEM. 47 alert baru dari semalam. Lu mulai triase satu-satu. 35 di antaranya false positive — firewall rule yang terlalu sensitif. Lu tuning rule-nya biar ga noisy.
09:15 — Alert menarik: unusual outbound DNS query ke domain yang baru di-register 2 hari lalu. Lu cek di VirusTotal — domain itu flagged sebagai C2 (Command & Control). Lu cek host-nya — workstation dari divisi marketing.
09:45 — Lu isolate workstation itu dari jaringan, bikin tiket insiden, eskalasi ke Tier 2 buat deep investigation. Sambil nunggu, lu document timeline dan evidence yang udah lu kumpulin.
10:30 — Tier 2 confirm: workstation itu terinfeksi malware yang communicate ke C2 server. Kemungkinan masuk lewat phishing email. Incident response team take over buat containment dan eradication.
11:00 — Lu balik ke dashboard, lanjut triase alert sisanya. Lunch break sebentar.
13:00 — Meeting mingguan sama tim. Review insiden minggu ini, discuss detection gaps, plan improvement.
14:00 — Balik ke monitoring. Bikin laporan buat insiden tadi pagi. Update playbook buat handling serupa di masa depan.
16:00 — Shift selesai. Tulis handover notes buat shift berikutnya.
Ga glamor? Mungkin. Tapi satu alert yang lu catch bisa prevent data breach jutaan record. Itu tanggung jawab yang gede.
Skill yang Dibutuhin
Buat jadi SOC analyst, ini yang harus lu kuasain:
Hard Skills:
- Networking — TCP/IP, DNS, HTTP, SMTP, firewall rules, packet analysis. Ini pondasi. Kalo lu ga ngerti network traffic, lu ga bisa analisis apa-apa.
- Operating Systems — Windows Event Logs, Linux syslog, process management. Lu harus nyaman navigasi keduanya.
- SIEM — Minimal satu: Splunk atau ELK Stack. Lu harus bisa bikin query, dashboard, dan alert rules.
- Log Analysis — Baca dan korelasiin log dari firewall, endpoint, proxy, email gateway, DNS. Ini skill inti SOC analyst.
- Security Frameworks — MITRE ATT&CK, Cyber Kill Chain, Diamond Model. Ini “bahasa” yang dipake di industri.
- Threat Intelligence — IOC (Indicators of Compromise), threat feeds, OSINT. Lu harus bisa consume intel dan apply ke detection.
- Basic Scripting — Python atau Bash buat automasi task repetitif. Ga harus jago, tapi bisa bikin script sederhana.
Soft Skills:
- Attention to detail — satu baris log yang aneh bisa jadi petunjuk serangan
- Communication — lu harus bisa jelasin insiden ke orang non-teknikal (management)
- Calm under pressure — pas insiden, semua orang panik. Lu harus tetep tenang dan methodical
- Curiosity — “kenapa traffic ini anomali?” bukan “ah paling false positive lagi”
Tools yang Dipake SOC Analyst
| Tools | Fungsi |
|---|---|
| Splunk / ELK | SIEM — aggregasi log, alert, dashboard |
| Wireshark / Zeek | Network traffic analysis |
| Sysmon + Event Logs | Windows endpoint monitoring |
| Wazuh / Osquery | Endpoint detection and response |
| Snort / Suricata | IDS/IPS — detect malicious traffic |
| MISP / OpenCTI | Threat intelligence platform |
| Autopsy / Volatility | Digital forensics (disk + memory) |
| TheHive / JIRA | Incident ticketing dan case management |
Gaji SOC Analyst di Indonesia
| Level | Experience | Range Gaji |
|---|---|---|
| Tier 1 (Triage) | 0-2 tahun | Rp 6-10 juta/bulan |
| Tier 2 (Investigation) | 2-4 tahun | Rp 12-20 juta/bulan |
| Tier 3 (Advanced) | 4-7 tahun | Rp 20-35 juta/bulan |
| SOC Manager | 7+ tahun | Rp 30-50 juta/bulan |
| Remote (perusahaan luar) | 3+ tahun | $2,500-$6,000/bulan |
SOC analyst itu salah satu role cybersecurity yang paling stabil — setiap perusahaan butuh SOC, dan SOC butuh orang 24/7 (shift pagi, siang, malam). Demand-nya konsisten dan ga terpengaruh tren.
Sertifikasi yang Relevan
- CompTIA CySA+ — Spesifik buat security analyst. Cover threat detection, SIEM, incident response.
- BTL1 (Blue Team Level 1) — Hands-on exam dari Security Blue Team. Affordable dan practical — phishing analysis, SIEM, forensics.
- SC-200 (Microsoft Security Operations Analyst) — Kalo environment-nya Microsoft/Azure.
- Splunk Core Certified User — Free certification dari Splunk. Bagus buat prove lu bisa pake SIEM.
Kesalahan Pemula SOC Analyst
- “Ah paling false positive” — Ini mindset paling berbahaya. Satu alert yang lu dismiss bisa jadi awal data breach. Triase semua alert properly.
- Ga baca log mentah — SIEM dashboard itu ringkasan. Kadang lu harus drill down ke raw log buat nemuin ground truth.
- Ga dokumentasi — “Gua udah handle, ga perlu report.” Salah. Tanpa dokumentasi, tim lain ga bisa belajar dari insiden dan ga bisa improve detection.
- Ga belajar offensive — SOC analyst terbaik itu yang ngerti gimana attacker beroperasi. Lu ga bisa detect serangan yang lu ga ngerti cara kerjanya.
- Burnout — Shift kerja + alert fatigue bisa bikin burnout. Jaga kesehatan mental, ambil cuti, dan rotate task.
Cara Mulai Jadi SOC Analyst
Bulan 1-2: Fondasi. Networking, Linux, Windows — ga bisa di-skip. Di LINUXENIC, mulai dari IT Support dan Cyber Security 101.
Bulan 3-5: Defensive Core. Security frameworks (MITRE ATT&CK, Kill Chain), threat intel, traffic analysis, endpoint monitoring. Masuk ke SOC Level 1 — ini path yang specifically didesign buat jadi SOC analyst.
Bulan 6-8: SIEM + Forensics. Hands-on Splunk, ELK, Autopsy, Volatility, Wireshark. Semua ada di path SOC Level 1.
Bulan 9-12: Portofolio + Sertifikasi. Tulis writeup dari lab yang lu selesaiin, publish di LinkedIn, ambil BTL1 atau Security+, mulai apply.
Ga perlu nunggu “siap.” Banyak hiring manager yang lebih value hands-on experience dari lab dibanding sertifikasi tanpa praktek. Selesaiin lab, tulis writeup, tunjukin di interview.
Cek Roadmap buat liat jalur lengkap, atau langsung mulai dari SOC Level 1.
