Sistem EDR menyimpan data yang dapat digunakan untuk penyelidikan lebih lanjut terhadap serangan. Hal ini membantu dalam memahami sumber ancaman dan mencegah serangan serupa di masa depan.
5. Contoh Penggunaan Aplikasi
Huntress adalah perangkat Endpoint Detection and Response (EDR) yang bertujuan untuk mengidentifikasi dan merespons ancaman keamanan pada endpoint (komputer dan perangkat akhir lainnya). Untuk memahami input, proses, dan output pada Huntress, berikut adalah penjelasannya:
5.1 Input (Masukan):
 Input utama untuk Huntress adalah data dan aktivitas yang diterima dari endpoint yang dimonitor. Ini mencakup informasi tentang proses, file, registri, jaringan, dan aktivitas lain pada perangkat tersebut.Huntress juga menerima informasi tentang perubahan sistem, aktivitas pengguna, dan aliran data lainnya dari endpoint yang diawasi. Data ini digunakan sebagai dasar untuk melakukan analisis keamanan.
5.2 Proses:
- Analisis Data: Huntress EDR menganalisis data yang diterima dari endpoint dengan menggunakan berbagai algoritma kecerdasan buatan dan tanda tangan ancaman. Analisis data ini mencakup mencari tanda-tanda perilaku mencurigakan yang mungkin merupakan ancaman keamanan.
- Deteksi Ancaman: Setelah menganalisis data, Huntress EDR mencoba mendeteksi ancaman keamanan yang potensial, seperti malware, peretasan, atau aktivitas jahat lainnya.
- Analisis Ancaman: Jika ancaman terdeteksi, Huntress EDR melakukan analisis lebih lanjut terhadap ancaman tersebut untuk memahami sifatnya, metode penyebarannya, dan potensi dampaknya. Ini melibatkan pelacakan aktivitas ancaman melalui endpoint dan jaringan.
- Tanggapan: Berdasarkan analisis, Huntress EDR dapat memberikan rekomendasi tindakan, memungkinkan administrator atau tim keamanan untuk mengambil langkah-langkah seperti mengisolasi endpoint, memblokir alamat IP jahat, menghapus malware, atau tindakan keamanan lainnya.
5.3 Output (Keluaran):
- Notifikasi: Jika Huntress EDR mendeteksi ancaman, itu akan menghasilkan notifikasi yang akan diberitahukan kepada administrator atau tim keamanan. Notifikasi ini berisi informasi tentang ancaman, tingkat keparahan, dan rekomendasi tindakan yang harus diambil.
- Laporan Keamanan: Huntress EDR sering menghasilkan laporan keamanan yang mencakup informasi tentang ancaman yang dideteksi, tindakan yang diambil, dan rekomendasi perbaikan. Laporan ini membantu organisasi dalam mengaudit dan meningkatkan strategi keamanan mereka.
- Tindakan: Tindakan yang diambil oleh administrator atau tim keamanan, seperti mengisolasi endpoint yang terinfeksi atau memblokir alamat IP jahat, juga merupakan keluaran dari sistem Huntress.
Berikut ini adalah beberapa contoh kasus penggunaan Huntress dalam mengatasi ancaman keamanan pada endpoint:
1. Deteksi Ransomware:Sebuah perusahaan menginstal Huntress EDR pada semua komputer karyawan mereka. Salah seorang karyawan mengklik lampiran e-mail yang berisi ransomware tanpa menyadari. Huntress mendeteksi perubahan yang tidak biasa pada beberapa file yang cepat dienkripsi oleh ransomware. Segera setelah ancaman terdeteksi, perangkat Huntress memberi notifikasi kepada administrator yang dapat segera mengisolasi komputer karyawan tersebut dan mencegah penyebaran ransomware ke endpoint lainnya.
2. Penghapusan Malware Persisten: Huntress EDR terus memonitor semua endpoint di sebuah perusahaan. Setelah beberapa minggu, sistem mendeteksi kehadiran malware yang berusaha menghindari deteksi dengan berubah secara teratur. Huntress mendeteksi pola aktivitas yang mencurigakan dan memberi tahu tim keamanan. Tim tersebut menggunakan rekomendasi Huntress untuk menemukan dan menghapus malware tersebut dari seluruh sistem.
3. Deteksi Aktivitas Peretasan:Sebuah organisasi memiliki server web yang menjadi sasaran serangan. Huntress EDR mengidentifikasi upaya peretasan yang berulang-ulang ke server tersebut. Administrator segera mendapatkan notifikasi dan dapat merespons dengan mengganti kata sandi, mengisolasi server, dan menganalisis potensi celah keamanan.