Home » Keamanan Jaringan » NDR Itu Apa? Deteksi Serangan di Jaringan Sebelum Terlambat
Keamanan Jaringan

NDR Itu Apa? Deteksi Serangan di Jaringan Sebelum Terlambat

Mata digital bercahaya di switch jaringan memantau aliran data kabel serat optik, paket merah berbahaya disorot dan diblokir perisai energi, ruang server gelap dengan deretan rak berkedip

NDR Itu Apa? Deteksi Serangan di Jaringan Sebelum Terlambat

Pernah gak sih kamu sadar server kamu diserang setelah seminggu kejadian? Gue pernah. Dan itu bikin gue ngerasa tolol tingkat dewa. Jadi ceritanya: server klien tiba-tiba lemot. Gue cek — CPU 100%, memory penuh. Ok, mungkin ada proses yang runaway. Gue restart. Normal lagi. Dua hari kemudian, lemot lagi. Gue mikir: “Hmm, aneh.” Tapi gue lagi sibuk deadline, jadi gue restart lagi. Eh, nanti aja deh investigasinya. Padahal kalo dari awal gue pasang Network Detection and Response, insiden ini mungkin udah ketauan di jam pertama.

Seminggu kemudian, setelah deadline kelar, gue baru bener-bener investigasi. Dan ternyata, server itu udah jadi bagian dari botnet selama 9 hari. Sembilan. Hari. Kirim spam keluar, scan jaringan lain, jadiin server gue relay serangan ke target lain. Dan gue gak sadar sama sekali. Kenapa? Karena gue gak punya Network Detection and Response di jaringan itu.

Nah, NDR itu apa sih sebenernya? Singkatnya: sistem yang nge-monitor traffic jaringan lo, ngedeteksi pola mencurigakan, dan ngasih alert — atau bahkan nge-blok — aktivitas berbahaya. Kayak CCTV, tapi buat data yang lalu-lalang di kabel jaringan lo. Network Detection and Response adalah lapisan keamanan yang sering di-skip — padahal dampaknya luar biasa.

Ini beda sama firewall tradisional. Firewall itu kayak satpam di gerbang — dia ngecek KTP lo pas masuk. Begitu lo udah di dalem gedung? Firewall kebanyakan gak mantau lagi. NDR itu kayak detektif yang keliling di dalem gedung 24/7 — dia liat siapa yang gerak-gerik aneh, siapa yang tiba-tiba akses ruangan yang gak seharusnya, siapa yang keluar-masuk di jam-jam gak wajar.

NDR vs EDR vs XDR — Biar Gak Ketuker

Banyak yang masih bingung bedain tiga ini. Padahal penting banget.

EDR (Endpoint Detection and Response)

Dipasang di endpoint — laptop, server, workstation. Mantau apa yang terjadi di dalam OS: proses apa yang jalan, file apa yang dimodifikasi, registry key apa yang diubah, koneksi network apa yang dibuka. Contoh produk: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint.

Kelebihan EDR: Detail banget. Bisa liat command line argument, process tree, parent-child process relationship, file hash, memory dump. Lo tau persis apa yang terjadi di endpoint itu.

Kekurangan EDR: Harus di-install di setiap endpoint. Ada agent. Dan itu masalah kalo:

  • Ada perangkat yang gak support agent (IoT, printer, switch, router, IP camera, industrial controller).
  • Ada BYOD (bawa laptop sendiri).
  • Ada server legacy yang OS-nya tua, gak bisa dipasangin agent.
  • Attacker dengan privilege tinggi bisa matiin agent EDR.

NDR (Network Detection and Response)

Dipasang di level jaringan. Biasanya sensor dipasang di titik-titik strategis — sebelum firewall, di core switch, di DMZ. NDR ngeliat SEMUA traffic yang lewat — tanpa perlu install agent di endpoint manapun.

Kelebihan NDR:

  • Coverage penuh — semua perangkat di jaringan ke-monitor, termasuk yang gak bisa dipasangin agent.
  • Network baseline — lo tau traffic normal kayak apa. Jadi anomali lebih keliatan.
  • Deteksi lateral movement — attacker yang udah di dalem dan gerak dari satu server ke server lain bakal keliatan di traffic.
  • Deteksi data exfiltration — upload data gede ke IP asing.

Kekurangan NDR:

  • Cuma bisa liat traffic. Gak bisa liat proses di dalem OS.
  • Mayoritas traffic sekarang dienkripsi (TLS 1.3). Tanpa dekripsi, lo cuma liat metadata: source IP, destination IP, port, SNI (untuk HTTPS), ukuran packet.
  • Volume data gede — NDR bisa generate terabytes log per hari di jaringan besar.

XDR (Extended Detection and Response)

Ini evolusi. XDR ngegabungin data dari multiple sources — endpoint, network, cloud, email, identity — ke dalam satu platform. Jadi lo bisa korelasi: “Oh, alert ini dari EDR di laptop user X, juga muncul di NDR sebagai traffic mencurigakan ke IP Y, yang juga berkorelasi dengan email phishing yang masuk 2 jam sebelumnya.”

XDR itu ideal. Tapi kompleks dan mahal. Banyak organisasi mulai dari EDR dulu atau NDR dulu, baru nanti naik ke XDR.

Kapan Pilih NDR?

  • Lo punya banyak perangkat yang gak bisa di-install agent.
  • Lo mau visibility di seluruh jaringan tanpa nge-disturb endpoint.
  • Lo punya jaringan flat (belum micro-segmented) — NDR bisa bantu liat lateral movement.
  • Budget terbatas tapi lo butuh detection capability — tool NDR open source lebih murah dari EDR enterprise.

Kenapa NDR Itu Kritis — Balik ke Cerita Gue

Server gue jadi botnet 9 hari. Kenapa gak kedeteksi?

  1. Gak ada EDR. Server pake OS lama, gak support agent modern.
  2. Gak ada NDR. Traffic botnet keluar (scan port, kirim spam), koneksi ke C2 server, scanning lateral ke subnet lain — semua gak keliatan.
  3. Log lokal dihapus. Attacker udah ngapus log di server itu. Jadi gak ada jejak.

Kalo aja ada NDR, gue bakal liat:

  • Outbound traffic ke IP di Rusia atau China setiap jam 2 pagi (pola beaconing).
  • Lonjakan volume data outbound — entah itu exfiltration atau spam.
  • Scanning internal ke port 22, 3389, 445 — ciri khas lateral movement.
  • DNS query ke domain-domain aneh yang baru di-register (domain generation algorithm / DGA).

NDR bisa deteksi semua itu dan kirim alert ke Telegram atau email gue. Mungkin gue gak butuh 9 hari buat sadar.

Tools NDR Open Source — Gak Perlu Beli Darktrace

Lo gak harus beli Darktrace atau Vectra AI yang harganya selangit. Ada tools open source yang powerful dan mature.

Zeek (Dulunya Bro)

Zeek adalah Network Security Monitor. Gak cuma capture packet — dia parse, analyze, dan generate metadata yang kaya banget. Setiap koneksi TCP/UDP, setiap HTTP request, setiap DNS query, setiap SSL certificate, setiap file yang di-transfer lewat network — Zeek catet semua dengan detail.

Output Zeek: log yang terstruktur. Bukan cuma raw pcap. Lo bisa query pake tool kayak zeek-cut atau forward ke Elasticsearch/Splunk.

Kekuatan Zeek:

  • Scripting language — lo bisa bikin custom detection logic. Misal: “Kalo ada koneksi ke IP yang ada di threat intel feed gue, notice.” Atau “Kalo ada HTTP request dengan User-Agent Python-urllib, itu suspicious activity — mungkin automated tool.”
  • Protocol parsing — Zeek parse protokol sampe level aplikasi. Dia tau field HTTP, DNS record type, SSL certificate issuer.
  • Community scripts — banyak script siap pakai di GitHub yang extend Zeek.

Setup Zeek: install di Linux, arahin ke network interface yang lo monitor (SPAN port, network TAP). Atau baca dari pcap file offline. Zeek generate log di folder spesifik. Lo tinggal forward log itu ke SIEM.

Suricata

Suricata beda pendekatan dari Zeek. Suricata lebih fokus ke signature-based detection — kayak antivirus untuk network. Dia pake ruleset dari Emerging Threats, Proofpoint, atau rules komunitas.

Suricata bisa jalan dalam dua mode:

  • IDS (Intrusion Detection System): Cuma detect dan alert. Gak ganggu traffic. Aman buat awal-awal.
  • IPS (Intrusion Prevention System): Inline — bisa blokir traffic yang dicurigai. Lebih powerful, tapi lebih berisiko (false positive = traffic legitimate ke-blok).

Keunggulan Suricata:

  • Signature-based — banyak threat yang ke-detect otomatis tanpa custom rules.
  • Protocol anomaly detection — bisa deteksi protocol violation yang bukan signature tapi mencurigakan.
  • Multi-threaded — lebih cepet dari Snort (legacy IDS).
  • Lua scripting — buat custom detection.

Kekurangan: false positive banyak. Lo harus tuning. Kalo enggak, lo bakal tenggelam di alert.

Security Onion — All-in-One

Ini distro Linux lengkap buat Network Security Monitoring. Di dalamnya udah terintegrasi: Zeek, Suricata, Elasticsearch, Logstash, Kibana, Wazuh, CyberChef, NetworkMiner, Stenographer. Semua udah disetting, tinggal pakai.

Kalo lo baru mulai NDR, Security Onion adalah starting point terbaik. Download ISO, install di server dengan network interface yang cukup. Setup wizard bakal nanya interface mana yang buat monitoring. Dalam 30 menit, lo udah punya SIEM + NIDS + NSM lengkap.

Wazuh (Bonus)

Wazuh sebenernya XDR open source — dia gabungin endpoint agent (file integrity, log analysis, vulnerability detection) dengan network detection rules. Wazuh bisa ingest data dari Suricata dan Zeek juga. Cocok buat lo yang mau all-in-one tapi budget terbatas.

Cara Setup NDR Sederhana — Dari Nol

Blueprint-nya:

  1. Siapin hardware: Server dengan minimal 2 network interface. Satu buat management (IP buat akses SSH/web). Satu buat monitoring (konek ke SPAN port switch atau network TAP). RAM minimal 16GB (Elasticsearch lahap memory).

  2. Install Security Onion: Download ISO, boot dari USB. Wizard bakal pandu lo. Pilih “Evaluation mode” (standalone). Tentukan interface monitoring.

  3. Arahin traffic ke sensor: Di managed switch, bikin SPAN (Switched Port Analyzer) port yang mirror traffic dari port yang mau lo monitor. Atau pake network TAP buat yang lebih serius.

  4. Mulai liat dashboard: Kibana bakal otomatis nampilin alert Suricata, connection log dari Zeek, dan visualisasi traffic. Lo bisa drill-down dari dashboard ke raw log.

  5. Tuning — ini krusial: Minggu pertama lo bakal kebanjiran alert. 90% false positive. Itu normal. Pelajarin traffic baseline lo. Mana yang normal, mana yang aneh. Matiin rules yang gak relevan. Tambahin threshold.

  6. Bikin custom alert: Setelah familiar sama traffic baseline, bikin alert untuk hal-hal spesifik. Misal:

    • Alert kalo ada inbound traffic ke port 3389 (RDP) dari luar Indonesia.
    • Alert kalo volume upload data ke IP asing > 100MB dalam 1 jam.
    • Alert kalo ada DNS query ke domain yang baru diregister (< 24 jam).

Gimana Cara Baca Alert NDR

Skill ini gak instan. Lo harus ngerti:

  • TCP three-way handshake — cara baca flag SYN, SYN-ACK, ACK.
  • DNS query types — A, AAAA, MX, TXT, CNAME. DNS tunneling sering abuse TXT records.
  • HTTP methods — GET vs POST. GET /login?username=admin’ OR ‘1’='1 itu SQL injection attempt.
  • SMB protocol — port 445 + weird filenames = possible ransomware.

Contoh pola yang harus bikin lo waspada:

Pola 1: Beaconing

Koneksi outbound ke IP tertentu secara periodik — misal tiap 15 menit, tiap 1 jam. Ini ciri C2 communication. Attacker di luar kirim perintah, malware di dalem check-in secara berkala.

Pola 2: Data Staging & Exfiltration

Upload traffic yang volume-nya gak wajar, ke IP atau domain yang gak dikenal, di luar jam kerja. Bisa jadi data lagi dicolong.

Pola 3: Lateral Movement

Koneksi internal ke banyak port di banyak host. Attacker yang udah foothold lagi nyebar ke server lain. Traffic internal ke port 22 (SSH), 445 (SMB), 3389 (RDP) yang berasal dari satu host — suspicious.

Pola 4: DNS Anomaly

DNS query ke domain dengan entropy tinggi (kayak x7g29a.example.com) — bisa jadi DGA (Domain Generation Algorithm) dari malware. Atau spike di DNS TXT queries — bisa jadi DNS tunneling.

Tantangan NDR di Era Enkripsi

Ini masalah terbesar NDR sekarang. Mayoritas traffic dienkripsi (TLS 1.3). Tanpa dekripsi, lo cuma bisa liat:

  • Source IP & port
  • Destination IP & port
  • Domain name (dari SNI di TLS handshake, atau dari DNS log)
  • Packet size & timing
  • Certificate info (issuer, validity)

Isi payload? Blank. Lo gak tau apakah HTTPS request itu legitimate atau malicious. Lo gak tau apakah file yang di-download itu PDF atau malware.

Solusi: TLS Decryption

Opsinya:

  1. Decrypt di NDR sensor: Forward traffic lewat sensor, decrypt, inspect, re-encrypt, forward ke tujuan. Mahal compute-nya. Legal issue (ini technically MITM). Pake forward proxy (Squid, Symantec SSL Visibility).
  2. Decrypt di endpoint: Agent di endpoint decrypt traffic sebelum di-encrypt dan kirim metadata ke NDR. Lebih scalable.
  3. Terima keterbatasan: Fokus ke metadata analysis, behavioral detection, dan anomaly. Gak perlu liat payload.

Banyak organisasi milih opsi 3 — karena privacy concern dan operational complexity dari dekripsi.

DNS over HTTPS / DNS over TLS

DNS yang dienkripsi (DoH, DoT) bikin deteksi berbasis DNS tradisional gak jalan. Solusinya: lo harus jadi DNS resolver sendiri (pake Pi-hole, Unbound, atau BIND), blokir DoH ke luar, dan paksa semua client pake DNS resolver lo. Dengan begitu lo tetep bisa log dan analyze DNS queries.

Checklist Memulai NDR

Lo gak perlu langsung full-scale deployment.

  1. Pilih subnet kritikal: Database production, DMZ, atau network yang nyimpen data sensitif. Mulai dari situ.
  2. Install Zeek di situ: Biarin jalan seminggu tanpa alert. Cuma ngumpulin data. Pahami traffic baseline.
  3. Analisis baseline: Jam berapa peak traffic? IP mana yang paling sering diakses? Port apa yang paling banyak? Volume normalnya berapa?
  4. Dari baseline, lo tau “normal” kayak apa. Jadi kalo ada anomali, langsung ketauan.
  5. Tambahkan Suricata: Aktifin ruleset Emerging Threats yang relevan sama environment lo. Matiin rules yang gak relevan.
  6. Bikin alert: Koneksiin ke notifikasi — Telegram bot, email, Slack, PagerDuty. Jangan sampe lo harus login dashboard tiap hari.
  7. Iterate: Setiap false positive, tuning. Setiap insiden yang lolos, tambahin detection rule baru.

Network Detection and Response adalah investasi. Lo keluar effort upfront (setup, tuning, belajar baca alert). Tapi return-nya: lo tau lebih awal, lo respon lebih cepet, lo bisa tidur lebih nyenyak. Lo gak bakal kayak gue dulu — server jadi botnet 9 hari tanpa sadar.

Dan jujur ya, after you see your network through the lens of NDR for the first time — you can’t unsee it. Lo jadi lebih ngerti apa yang terjadi di jaringan lo. It’s eye-opening. Kadang ngeri. Tapi selalu worth it.

Banditz Cyber Verified
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts