π‘οΈ Roadmap Cyber Security β Blue Team / SOC Analyst
Filosofi: Pelajari A+B, bukan A sendiri. Kalau kamu cuma install Wazuh, itu artinya kamu bisa setup SIEM. Tapi kalau kamu bisa deploy Wazuh + alert rules custom + incident response workflow di TheHive, itu artinya kamu mengerti SOC pipeline end-to-end β dan itu yang ditanya waktu interview. Rekruter akan tanya βoke, ada alert, terus prosesnya gimana?β Kalau kamu jawab βalert masuk Wazuh β trigger case di TheHive β saya triage berdasarkan MITRE ATT&CK mapping β eskalasi ke playbook yang saya tulis sendiriβ β itu yang menutup pertanyaan.
π― Checkpoint Awal β Sebelum Mulai
Stack : Ubuntu Server β Proxmox (host) β Ubuntu VM
Jalur : Blue Team / SOC Analyst
Spek : i7 Gen7, 8GB RAM, GTX 1050
Target Karir: SOC Analyst L1 β L2, Security Engineer, Detection Engineer
Urutan belajar:
Fase 1 (ringan, jalan bersamaan): Lynis β Trivy β CrowdSec β Suricata
Fase 2 (1-2 sekaligus) : Falco β Semgrep β OpenVAS
Fase 3 (dedicated) : Wazuh single-node β TheHive
Fase 4 (konsep dulu) : MISP β Vault
Next step: Install Proxmox, pindah Ubuntu jadi VM, buat VM target latihan
Aturan Emas
Satu jalur dulu. Selesaikan sampai bisa bikin proyek yang bisa diceritakan ke rekruter, baru loncat ke jalur lain. Jangan paralel β hasilnya akan setengah-setengah di semua jalur.
Fase 1 β Hardening & Visibility (Minggu 1β4)
Goal: Pahami apa yang membuat sistem rentan, dan pasang βmataβ pertama di infrastruktur kamu. RAM Impact: Semua tool bisa jalan bersamaan, total <2GB.
| Tool | RAM | Yang Dipelajari | Combo A+B yang Membuktikan |
|---|---|---|---|
| Lynis | ~50MB | Security auditing β skor hardening, rekomendasi fix CIS Benchmark | Lynis + remediasi manual = kamu bisa hardening Linux dari nol |
| Trivy | ~100MB | Container vulnerability scanning β deteksi CVE sebelum deploy | Trivy + Docker image scanning pipeline = kamu paham shift-left security |
| CrowdSec | ~150MB | Collaborative IPS β belajar attack patterns dari data komunal | CrowdSec + log analysis = kamu lihat serangan nyata ke server kamu |
| Suricata | ~350MB | Network IDS β deteksi intrusi di level packet | Suricata + alert triage = kamu bisa baca network traffic seperti SOC analyst |
Cara Belajar Fase 1
Jalankan
sudo lynis audit systemβ ikuti rekomendasinya satu per satu. Setiap poin yang kamu fix, catat di catatan: βSebelum: skor 54. Sesudah: skor 72. Yang saya fix: SSH config, firewall rules, file permissions.β Ini cerita interview.
Proyek Portofolio Fase 1:
Hardening Report Ubuntu Server β dokumen PDF/Markdown berisi skor Lynis sebelum dan sesudah hardening + penjelasan setiap fix yang diterapkan. Ini bisa jadi writing sample di lamaran.
Fase 2 β Detection & Scanning (Minggu 5β10)
Goal: Deteksi ancaman di level runtime (kernel) dan temukan kelemahan sebelum penyerang. RAM Impact: Jalankan 1-2 sekaligus. Matikan yang tidak dipelajari. Total aman ~3-4GB.
| Tool | RAM | Yang Dipelajari | Combo A+B yang Membuktikan |
|---|---|---|---|
| Falco | ~400MB | Runtime security β deteksi perilaku mencurigakan di kernel via eBPF | Falco + custom rules = kamu bisa menulis detection logic, bukan cuma pakai default |
| Semgrep | ~200MB | SAST β cari bug keamanan di source code | Semgrep + CI pipeline integration = kamu paham DevSecOps workflow |
| OpenVAS/Greenbone | ~1.5GB | Vulnerability scanner β temukan kelemahan infrastruktur | OpenVAS + remediation report = kamu bisa triage vulnerability berdasarkan CVSS |
RAM Management
Matikan Suricata & Falco dulu sebelum jalankan OpenVAS. OpenVAS butuh ~1.5GB sendiri. Scan ke VM lain di jaringan lokal β jangan ke server yang sedang dipelajari.
Proyek Portofolio Fase 2:
Vulnerability Assessment Report β scan jaringan homelab dengan OpenVAS, triage berdasarkan CVSS severity, tulis remediasi per finding. Format mengikuti template real pentest report.
Fase 3 β SIEM & Incident Response (Minggu 11β18)
Goal: Ini inti pekerjaan SOC analyst. Agregasi log, korelasi event, dan respons insiden. RAM Impact: Heavy. Jalankan satu-satu. Matikan semua tool lain.
| Tool | RAM | Yang Dipelajari | Combo A+B yang Membuktikan |
|---|---|---|---|
| Wazuh (single-node) | ~3.0GB | SIEM β agregasi log, deteksi threat, compliance | Wazuh + custom decoder + alert rules = kamu bisa tuning SIEM, bukan cuma install |
| TheHive | ~2.0GB | Case management β cara SOC mendokumentasikan investigasi | TheHive + incident playbook = kamu paham workflow investigasi end-to-end |
Trik RAM untuk Wazuh
Pakai Docker Compose resmi, tapi edit
docker-compose.yml: setES_JAVA_OPTS=-Xms512m -Xmx1guntuk hemat RAM. Pasang Wazuh agent di VM lain untuk kirim log ke manager.
Proyek Portofolio Fase 3:
SOC Simulation β End-to-End Incident Response β simulasikan serangan (SSH brute force ke VM target), tunjukkan alert di Wazuh, buat case di TheHive, tulis timeline investigasi, dokumentasikan lessons learned. Ini proyek yang membuat rekruter bilang βhire.β
Fase 4 β Threat Intelligence & Secrets Management (Minggu 19β24)
Goal: Level lanjutan. Berbagi IOC antar organisasi dan manage credential secara aman. RAM Impact: Pelajari konsep dulu. Jalankan hanya saat khusus belajar.
| Tool | RAM | Yang Dipelajari | Combo A+B yang Membuktikan |
|---|---|---|---|
| MISP | ~2.0GB | Threat intelligence sharing β IOC (Indicators of Compromise) | MISP + TheHive integration = kamu bisa automate enrichment dari IOC feeds |
| HashiCorp Vault | ~300MB | Secrets management β credential tidak boleh hardcode | Vault + auto-rotation credential database = kamu paham zero-trust secrets |
Proyek Portofolio Fase 4:
Threat Intelligence Pipeline β setup MISP feed β TheHive auto-enrichment β Wazuh correlation. Atau: Vault secrets engine + auto-rotation credential PostgreSQL dengan audit trail.
Roadmap Visual β Timeline 6 Bulan
Bulan 1 Bulan 2 Bulan 3 Bulan 4 Bulan 5 Bulan 6
ββββββββββββ ββββββββββββ ββββββββββββ ββββββββββββ ββββββββββββ ββββββββββββ
β FASE 1 β β FASE 1β2 β β FASE 2 β β FASE 3 β β FASE 3 β β FASE 4 β
β Lynis β β Falco β β OpenVAS β β Wazuh β β TheHive β β MISP β
β Trivy β β Semgrep β β Report β β Setup β β IR Sim β β Vault β
β CrowdSec β β β β β β Custom β β Playbook β β Pipeline β
β Suricata β β β β β β Rules β β β β β
ββββββββββββ ββββββββββββ ββββββββββββ ββββββββββββ ββββββββββββ ββββββββββββ
β² β² β² β² β² β²
β β β β β β
Portfolio: Portfolio: Portfolio: Portfolio: Portfolio: Portfolio:
Hardening Detection Vuln Assess SIEM Rules SOC Sim TI Pipeline
Report Rules Report Tuning IR Report Integration
Sertifikasi yang Cocok per Fase
| Fase | Sertifikasi | Kenapa |
|---|---|---|
| Setelah Fase 1β2 | CompTIA Security+ | Fondasi teori security β validasi apa yang sudah kamu praktekkan |
| Setelah Fase 3 | BTL1 (Blue Team Level 1) | SOC analyst cert paling praktis β langsung pakai SIEM & IR |
| Setelah Fase 4 | CCD (Certified CyberDefender) by CyberDefenders | Lab-based, pakai evidence dari SIEM/log nyata |
| Jangka panjang | GCIA (GIAC Certified Intrusion Analyst) | Gold standard network defense β mahal tapi berharga |
Yang TIDAK Perlu Dipelajari Sekarang
Jangan Buang Waktu
Kali Linux tools (Metasploit, Burp Suite)β itu jalur Red Team, beda roadmapCloud-native security (AWS GuardDuty, Azure Sentinel)β pelajari setelah punya fondasi on-premMalware analysis / reverse engineeringβ butuh fondasi assembly, beda spesialisasiCISSPβ butuh 5 tahun experience, bukan untuk pemula
π Lihat Juga
- Master Index
- Endpoint Security β CPU Ring & threat landscape yang dideteksi tools ini
- Network Security β OSI Layer defense yang dipantau Suricata
- Cheat Engine β Anti-cheat = blue team di gaming industry
- DevOps Roadmap β Jalur karir alternatif paling banyak lowongan
- Offensive Security Roadmap β Jalur Red Team (lawannya Blue Team)
Roadmap Cyber Security Blue Team | Fase 1 (Hardening) β Fase 4 (Threat Intel) Β· 6 Bulan Homelab