Open in app

Sign in

Write

Sign in

Mengenal Perbedaan IDS, IPS, SIEM, EDR, dan XDR dalam Dunia Cybersecurity

Bayu Sangkaya
Cyberkarta
Published in
3 min readJun 6, 2024

Ketika pertama kali terjun dalam dunia cyber security, biasanya akan dihadapkan banyak istilah baru beserta tools yang termasuk di dalamnya. Tentu saja hal baru ini bisa saja membuat mereka yang baru terjun merasa bingung, apalagi istilah dan toolsnya mirip-mirip. Artikel kali ini akan membahas mengenai perbedaan dalam istilah-istilah tersebut. Yuk kita bahas satu per satu.

Intrusion Detection System (IDS)

IDS berfungsi sebagai penjaga atau detector di jaringan, berfungsi untuk memantau aktivitas dan mencari tanda-tanda intrusi. Saat mendeteksi aktivitas mencurigakan, IDS akan memberi tahu atau meberikan alert kepada SOC team, agar dapat diinvestigasi lebih lanjut. IDS tidak secara langsung menghentikan serangan, tetapi memberikan informasi valuable untuk mencegah serangan di masa depan.

IDS dapat dibagi menjadi dua jenis: Network-based IDS (NIDS) yang memonitor lalu lintas jaringan, dan Host-based IDS (HIDS) yang memonitor aktivitas di dalam sistem atau perangkat.

Contoh:

  • Snort dan Suricata: Salah satu contoh IDS yang populer dan bersifat open-source, digunakan untuk mendeteksi serangan berbasis jaringan.
  • OSSEC: Merupakan HIDS yang bersifat open-source dan mampu mendeteksi ancaman pada sistem.
  • Wazuh: Merupakan HIDS berbasis ossec rules ditambah dengan analysisd untuk mendeteksi ancaman pada sistem.

Intrusion Prevention System (IPS)

IPS bekerja sama dengan IDS, tetapi dengan kemampuan tambahan untuk mencegah serangan secara langsung. Saat IPS mendeteksi aktivitas berbahaya, IPS dapat memblokir traffic atau menutup port yang terkena dampak. Hal ini membantu mencegah kerusakan yang disebabkan oleh serangan siber.

IPS bekerja secara real-time untuk menghentikan atau memblokir aktivitas berbahaya dengan memodifikasi aturan firewall, mengisolasi bagian tertentu dari jaringan, atau menghentikan proses yang mencurigakan.

Contoh:

  • Cisco FirePOWER: Merupakan contoh IPS yang dapat mengidentifikasi dan mencegah berbagai jenis ancaman.
  • McAfee Network Security Platform: Menyediakan perlindungan IPS dengan kemampuan deteksi dan pencegahan ancaman tingkat lanjut.
  • Wazuh: Memiliki fungsi active response yang dapat digunakan untuk action ketika ada ancaman.

Security Information and Event Management (SIEM)

SIEM bertindak sebagai pusat intelijen untuk keamanan siber atau SOC. SIEM mengumpulkan data dari berbagai sumber, seperti log jaringan, log endpoint, dan log aplikasi. Selanjutnya SIEM menganalisisnya untuk mencari pola dan anomali yang menunjukkan aktivitas berbahaya. SIEM dapat membantu Anda mengidentifikasi serangan di tahap awal dan menyelidikinya dengan lebih cepat.

SIEM membantu dalam deteksi ancaman dengan mengkorelasikan data dari berbagai sumber dan memberikan wawasan serta analisis mendalam mengenai pola serangan. SIEM juga memainkan peran penting dalam kepatuhan (compliance) dengan regulasi keamanan.

Contoh:

  • Splunk: Platform SIEM yang kuat dengan kemampuan analisis data besar dan korelasi kejadian.
  • IBM QRadar: SIEM yang terkenal dengan fitur analisis ancaman dan manajemen insiden.
  • Wazuh: Megumpulkan seluruh log melalui agent yang terinstall dalam endpoint.

Endpoint Detection and Response (EDR)

EDR berfokus pada perlindungan endpoint Anda, seperti laptop, desktop, dan server. EDR memonitor aktivitas endpoint untuk mencari tanda-tanda malware, ransomware, dan serangan lainnya. Saat EDR mendeteksi ancaman, EDR dapat melakukan tindakan seperti mengisolasi endpoint yang terinfeksi, menghentikan proses berbahaya, dan menghapus malware.

EDR fokus pada pemantauan dan deteksi ancaman pada endpoint (seperti komputer, laptop, dan perangkat mobile). EDR biasanya menyediakan fitur seperti analisis perilaku, deteksi anomali, dan forensik digital.

Contoh:

  • CrowdStrike Falcon: Solusi EDR yang terkenal dengan kemampuan deteksi dan respon ancaman secara real-time.
  • SentinelOne: Menyediakan alat EDR dengan analisis perilaku yang kuat dan visibilitas yang mendalam.

Extended Detection and Response (XDR)

XDR adalah solusi keamanan siber terbaru yang mengintegrasikan kemampuan IDS, IPS, SIEM, dan EDR. XDR memberikan pandangan yang lebih luas tentang aktivitas keamanan di seluruh jaringan dan endpoint Anda. Hal ini memungkinkan Anda untuk mendeteksi dan merespons ancaman dengan lebih cepat dan efektif, bahkan di lingkungan yang kompleks dan hybrid.

XDR bertujuan untuk memberikan visibilitas yang lebih luas dan mendalam serta koordinasi yang lebih baik dalam merespon ancaman yang kompleks. XDR menyatukan berbagai alat keamanan (seperti EDR, NDR, SIEM, dan lainnya) ke dalam satu platform terpadu untuk meningkatkan efisiensi dan efektivitas deteksi dan respon ancaman.

Contoh:

  • Palo Alto Networks Cortex XDR: Platform XDR yang mengintegrasikan data dari berbagai sumber untuk deteksi dan respon yang lebih baik.
  • Trend Micro XDR: Menyediakan visibilitas lintas endpoint, email, server, cloud workloads, dan jaringan untuk meningkatkan deteksi dan respon ancaman.
  • Wazuh XDR: Wazuh bisa diintegrasikan dengan pihak ketiga untuk memperkaya informasi yang digunakan untuk analysis. Contohnya dengan MISP ataupun Virustotal.

Dengan memahami perbedaan, fungsi, dan contoh dari IDS, IPS, SIEM, EDR, dan XDR, organisasi dapat memilih solusi yang paling sesuai untuk kebutuhan keamanan sibernya dan melindungi aset digitalnya dari berbagai ancaman yang terus berkembang.

Ids
Ips
Siem
Cybersecurity
Xdr

--

--

Bayu Sangkaya
Cyberkarta

Written by Bayu Sangkaya

40 Followers
Editor for

Seorang SysAdmin yang berpengalaman gelar server dari scratch (merakit dan memasang hardware) sampai monitoring dan analysis.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams