Ketika kebanyakan orang sudah pulang kerja dan bersiap tidur, ada satu ruangan yang lampunya tidak pernah mati. Di sana, puluhan layar monitor menampilkan grafik, log, dan alert yang terus mengalir — ruangan itulah Security Operations Center (SOC), benteng digital pertama yang menjaga infrastruktur perusahaan 24 jam sehari, 7 hari seminggu.
Serangan siber tidak mengenal jam kerja. Justru, menurut laporan Mandiant 2026, 43% serangan siber terjadi di luar jam bisnis — antara pukul 18:00 sampai 06:00 waktu setempat. Itulah kenapa SOC harus beroperasi 24/7: karena musuh tidak tidur, dan penjaga pun tidak boleh lengah sedetik pun.
Menurut Sari Wijaya, SOC Analyst Lead dengan pengalaman 8 tahun di pusat keamanan siber perbankan Indonesia, bekerja di SOC adalah soal endurance dan ketelitian. “Kita tidak bisa afford downtime. Satu menit aja kita lengah, itu cukup buat attacker masuk dan eksfiltrasi data,” ujarnya. Dalam pengalamannya menangani insiden di 5 bank besar, Sari mencatat bahwa waktu rata-rata dari deteksi awal sampai respons tim adalah 7 menit — itu pun masih dianggap terlalu lambat untuk serangan ransomware yang bisa menyebar dalam hitungan detik.
Tapi seperti apa sih sebenarnya kehidupan di dalam SOC? Apa yang terjadi saat alarm berbunyi di tengah malam? Artikel ini akan membawa kamu masuk ke dalam ruang monitoring — dari struktur tim, teknologi yang digunakan, sampai tantangan nyata yang dihadapi para analyst setiap harinya.
Apa Itu SOC dan Mengapa Harus 24/7?
Security Operations Center (SOC) adalah unit terpusat yang bertanggung jawab memonitor, mendeteksi, menganalisis, dan merespons insiden keamanan siber secara real-time. SOC bisa berupa tim internal perusahaan, layanan dari Managed Security Service Provider (MSSP), atau kombinasi keduanya (hybrid SOC).
Alasan utama SOC harus beroperasi 24/7 sederhana: ancaman siber tidak mengenal zona waktu. Attacker dari Eropa atau Rusia bisa menyerang server di Indonesia saat semua orang di Jakarta sedang tidur. Sistem otomatis memang bisa membantu, tapi tanpa analis manusia yang bisa membuat keputusan kontekstual, banyak serangan canggih yang lolos dari deteksi otomatis.
Berdasarkan data dari Badan Siber dan Sandi Negara (BSSN), sepanjang tahun 2025 terdapat lebih dari 420 juta serangan siber yang menyasar infrastruktur Indonesia — dan sekitar 35% di antaranya terjadi di luar jam kerja normal. Angka ini menunjukkan bahwa tanpa monitoring 24/7, sebuah organisasi bisa kehilangan kesempatan untuk mendeteksi dan menghentikan serangan sebelum terlambat.
Struktur Tim dan Pola Shift di Dalam SOC
SOC bukan sekadar ruangan berisi orang yang menatap layar sepanjang malam. Di baliknya ada struktur tim bertingkat yang bekerja seperti piramida — semakin tinggi level, semakin dalam keahlian teknis yang dibutuhkan.
Tier 1 — Garda Terdepan
Tier 1 Analyst adalah ujung tombak. Mereka yang pertama kali melihat alert dari SIEM, melakukan triase awal, dan menentukan apakah sebuah alert layak dinaikkan ke Tier 2. Bekerja di level ini membutuhkan kemampuan cepat membaca log, pemahaman dasar tentang network protocol, dan — yang paling penting — kemampuan untuk tidak panik saat layar berubah merah.
Tier 2 — Investigator
Begitu alert dinyatakan mencurigakan oleh Tier 1, kasusnya naik ke Tier 2 Analyst. Di sinilah investigasi mendalam terjadi — melakukan forensik awal, mengecek IoC (Indicators of Compromise) di threat intelligence platform, dan menentukan apakah ini benar-benar insiden atau false positive. Tier 2 biasanya memiliki pengalaman 2-4 tahun dan menguasai berbagai tools analisis.
Tier 3 — Advanced Threat Hunter
Tier 3 adalah level tertinggi di SOC. Mereka adalah spesialis yang melakukan threat hunting — proaktif mencari ancaman yang belum terdeteksi oleh sistem otomatis. Tier 3 analyst sering kali memiliki latar belakang reverse engineering, malware analysis, dan memahami framework seperti MITRE ATT&CK secara mendalam.
Pola Shift: Follow-the-Sun dan Variannya
SOC 24/7 biasanya menerapkan salah satu dari dua pola shift berikut:
- Follow-the-Sun: Digunakan oleh perusahaan multinasional. SOC region Asia-Pasifik (misalnya di Singapura atau Jakarta) memegang shift pagi-sore, lalu menyerahkan ke SOC Eropa, dan seterusnya ke SOC Amerika. Dengan model ini, setiap tim hanya bekerja 8-9 jam.
- 12-Jam Shift: Umum di SOC lokal Indonesia. Dua tim bergantian: Tim A pukul 07:00-19:00, Tim B pukul 19:00-07:00. Pola: 3 hari kerja, 3 hari libur. Jujur: ini melelahkan secara fisik dan mental.
Sari Wijaya mengakui bahwa shift malam adalah tantangan terbesar. “Malam-malam tertentu sangat sepi, cuma alert false positive dari cron jobs. Tapi justru itu berbahaya — karena saat mata mulai berat, saat itulah attacker sebenarnya bergerak. Saya pernah hampir miss insiden SQL injection di jam 3 pagi karena ngantuk berat. Untungnya junior saya yang baru masuk shift lihat anomaly di grafik traffic,” ceritanya. Kejadian itu menjadi pelajaran berharga tentang pentingnya shift overlap — 30 menit transisi antar shift di mana tim yang keluar memberi briefing ke tim yang masuk.
Teknologi di Balik SOC Modern
SOC bukan hanya tentang manusia — teknologi adalah force multiplier yang membuat 5 orang analyst bisa memonitor ribuan endpoint sekaligus. Berikut teknologi utama yang wajib ada di SOC:
SIEM — Jantung SOC
Security Information and Event Management (SIEM) adalah pusat dari semua operasi SOC. Tools seperti Splunk, Elastic Security, atau IBM QRadar mengumpulkan log dari ratusan sumber — firewall, server, endpoint, aplikasi — dan mengkorelasikannya menjadi alert yang bisa ditindaklanjuti. Tanpa SIEM, analyst harus memeriksa log secara manual, yang mustahil dilakukan untuk organisasi dengan lebih dari 100 perangkat.
SOAR — Otomatisasi yang Menyelamatkan
Security Orchestration, Automation, and Response (SOAR) menghilangkan pekerjaan repetitif yang membebani analyst. Misalnya, saat SIEM mendeteksi IP mencurigakan melakukan port scan, SOAR bisa otomatis memblokir IP tersebut di firewall, membuat ticket di sistem manajemen insiden, dan mengirim notifikasi ke grup Telegram — semuanya tanpa campur tangan manusia. Ini mengurangi Mean Time to Response (MTTR) dari puluhan menit jadi hitungan detik.
EDR dan XDR — Mata di Endpoint
Endpoint Detection and Response (EDR) seperti CrowdStrike, Microsoft Defender for Endpoint, atau SentinelOne memberikan visibilitas mendalam ke setiap laptop dan server di jaringan. Sementara Extended Detection and Response (XDR) mengambil pendekatan lebih luas — mengintegrasikan data dari endpoint, network, cloud workload, dan email dalam satu dashboard. Untuk SOC dengan budget terbatas, Wazuh (open-source XDR) adalah alternatif yang layak dipertimbangkan.
Alur Kerja SOC — Dari Alert Sampai Resolusi
Memahami alur kerja SOC membantu kita melihat bagaimana sebuah alert sederhana bisa berkembang menjadi investigasi serius — atau sebaliknya, ditutup sebagai false positive dalam 5 menit.
Langkah 1: Alert Muncul di Dashboard
Semuanya dimulai dari SIEM. Aturan deteksi (detection rule) yang sudah dikonfigurasi — misalnya “5 kali failed login dalam 1 menit dari IP sama” — menghasilkan alert. Tier 1 analyst melihat ini di dashboard dan mulai bekerja.
Langkah 2: Triase dan Prioritisasi
Tidak semua alert diciptakan sama. Tier 1 melakukan triase cepat: Apakah ini false positive? Seberapa parah dampaknya? Apakah menyangkut aset kritikal? Alert dikategorikan berdasarkan severity: Low, Medium, High, atau Critical. Alert dengan severity Critical (misalnya: deteksi ransomware di server produksi) langsung dinaikkan ke Tier 2 dalam hitungan menit.
Langkah 3: Investigasi Mendalam
Tier 2 analyst mulai mengumpulkan bukti. Mereka memeriksa timestamp, IP sumber, payload yang dikirim, koneksi jaringan terkait, dan melakukan pencarian di threat intelligence platform seperti VirusTotal, AlienVault OTX, atau AbuseIPDB. Pertanyaan kunci: Apa yang terjadi, kapan, dari mana, dan sejauh mana dampaknya?
Langkah 4: Containment dan Response
Jika terkonfirmasi sebagai insiden, Tier 2 eskalasi ke Tier 3 atau Incident Response (IR) team. Langkah containment dilakukan segera: mengisolasi host yang terinfeksi, memblokir IP penyerang di perimeter firewall, dan — jika perlu — mengambil image forensik untuk analisis lebih lanjut. Kecepatan adalah segalanya. Sari Wijaya menekankan, “Di incident terakhir yang kami tangani, attacker hanya butuh 90 detik dari initial access sampai lateral movement. Kalau Tier 1 kita lambat 2 menit aja, attacker udah pindah ke server lain.”
Langkah 5: Post-Incident Review
Setelah insiden selesai, seluruh tim berkumpul untuk post-mortem. Tujuannya bukan mencari siapa yang salah, tapi: Bagaimana ini bisa terjadi? Apakah deteksi kita bisa lebih cepat? Apa yang harus kita perbaiki? Hasil review ini menjadi input untuk memperbarui detection rules, meningkatkan playbook response, dan melatih tim.
Tantangan Nyata Bekerja di SOC
Bekerja di SOC tidak se-glamor yang digambarkan di film. Kenyataannya, ada banyak tantangan yang harus dihadapi setiap hari.
Alert Fatigue — Musuh Nomor Satu
Bayangkan ini: kamu menerima 5.000 alert per hari, tapi hanya 50 yang benar-benar layak ditindaklanjuti. Sisanya? False positive. Inilah alert fatigue — kondisi di mana analyst menjadi terlalu “kebal” terhadap alert dan mulai melewatkan ancaman nyata. Menurut studi SANS Institute 2025, rata-rata SOC menerima 4.500 alert per hari, dan analyst hanya bisa menyelidiki sekitar 12-15 alert per shift. Ini adalah masalah fundamental yang belum sepenuhnya terpecahkan di industri.
Burnout dan Kesehatan Mental
Shift malam yang panjang, tekanan untuk tidak melewatkan ancaman, dan sifat pekerjaan yang always-on membuat tingkat burnout di SOC analyst cukup tinggi. Data dari Tines State of SOC 2025 menunjukkan 67% SOC analyst melaporkan gejala burnout dalam 12 bulan terakhir. Di Indonesia, di mana kultur kerja sudah cenderung demanding, tantangan ini semakin terasa.
Perkembangan Ancaman yang Terus Bergerak
Taktik, teknik, dan prosedur (TTP) attacker berubah setiap bulan. SOC analyst harus terus belajar — dari teknik Living-off-the-Land (LotL) yang mengeksploitasi tool bawaan Windows, sampai supply chain attack yang menyusup lewat dependency open-source. Framework seperti MITRE ATT&CK dan D3FEND menjadi referensi wajib untuk terus memperbarui strategi deteksi.
FAQ: Pertanyaan Umum tentang SOC
Apakah SOC hanya untuk perusahaan besar?
Tidak. Perusahaan kecil dan menengah (UKM) juga bisa memiliki SOC — melalui layanan MSSP (Managed Security Service Provider) yang harganya mulai dari Rp5-15 juta per bulan. Model ini disebut SOC-as-a-Service. Beberapa vendor MSSP di Indonesia bahkan menawarkan paket terjangkau untuk startup dan bisnis menengah.
Skill apa yang dibutuhkan untuk bekerja di SOC?
Untuk Tier 1, kamu butuh: pemahaman networking (TCP/IP, DNS, HTTP), kemampuan membaca log, dasar-dasar sistem operasi (Windows & Linux), dan familiar dengan tools SIEM. Sertifikasi seperti CompTIA Security+ atau Blue Team Level 1 (BTL1) sangat membantu. Skill soft yang paling penting: tenang di bawah tekanan dan komunikasi yang jelas — karena kamu akan menjelaskan insiden teknis ke manajemen non-teknis.
Berapa gaji SOC analyst di Indonesia?
Berdasarkan data dari job portal Indonesia per Q2 2026: Tier 1 SOC Analyst berkisar Rp7-12 juta/bulan, Tier 2 di Rp12-20 juta, dan Tier 3 / SOC Manager bisa mencapai Rp25-40 juta. Angka ini bervariasi berdasarkan lokasi (Jakarta lebih tinggi dari kota lain), industri (perbankan dan fintech cenderung bayar lebih), dan pengalaman kandidat.
Apakah SOC analyst bisa kerja remote?
Bisa, terutama untuk Tier 1 dan Tier 2 dengan infrastruktur cloud-based SOC. Banyak perusahaan di Indonesia mulai menerapkan model hybrid — analyst bisa WFH 2-3 hari per minggu, dengan syarat koneksi internet stabil dan VPN ke jaringan perusahaan. Namun, untuk penanganan insiden kritikal, kehadiran fisik di SOC tetap lebih efektif karena koordinasi tim yang lebih cepat.
Kesimpulan
SOC 24/7 adalah denyut nadi pertahanan siber modern — tempat di mana teknologi dan manusia bekerja bersama untuk mendeteksi, menyelidiki, dan merespons ancaman sebelum terlambat. Di balik layar monitor yang tak pernah mati, ada tim analyst yang rela bekerja shift malam, melawan alert fatigue, dan terus belajar melawan TTP attacker yang makin canggih.
Seperti kata Sari Wijaya di akhir wawancara kami: “Bekerja di SOC bukan soal pintar atau jago teknis aja. Ini soal disiplin. Karena di dunia di mana satu menit keterlambatan bisa berarti jutaan data bocor, disiplin adalah superpower yang sesungguhnya.“
Kalau kamu tertarik masuk ke dunia keamanan siber — entah sebagai SOC analyst, pentester, atau engineer — yang paling penting adalah mulai belajar dengan konsisten. Tidak perlu langsung jago. Tidak perlu langsung mahir semua tools. Cukup mulai dari dasar, pelajari networking, pahami log, dan biasakan diri dengan alert. Karena di dunia SOC, orang yang paling siap bukan yang paling pintar, tapi yang paling disiplin.