Perpustakaan Digital ITB

Tugas akhir ini mengajukan artefak deteksi anomali berbasis machine learning untuk mereduksi alert fatigue dan meningkatkan efektivitas triase pada lingkungan SIEM Wazuh. Alih-alih klasifikasi biner, masalah dirumuskan sebagai pemeringkatan (Top-K/Top-p) sehingga atensi analis terfokus pada irisan kejadian bernilai tinggi dan berukuran sesuai kapasitas harian. Solusi memanfaatkan feature spine ber-coverage tinggi dengan pembersihan dan kanonisasi skema yang deterministik. Evaluasi dirancang temporal (latih-validasi-uji prospektif), dengan injeksi kejadian sintetis terkurasi pada fase validasi untuk menyediakan ground truth yang relevan secara operasional. Hasil menunjukkan pendekatan bertetangga (k-NN untuk anomaly scoring) paling konsisten pada budgeted triage kecil. Pada titik operasi p=1%, sistem mencapai precision@1%? 0,68, recall@1% ? 0,23, lift@1% > 23× terhadap base rate, dan FPR@1%? 0,0033 mengindikasikan kepadatan true positive yang tinggi pada irisan kecil dan noise yang terkendali, dengan stabilitas antar-hari yang memadai. Lapisan explainability melalui reason codes (fitur kontributor, pembanding "tetangga normal", indikator konteks) mempercepat handoff investigasi dan meningkatkan akuntabilitas prioritisasi. Implementasi disiapkan deployment-friendly melalui transformer fitur yang dibekukan dan layanan headless berkontrak keluaran stabil, siap diintegrasikan dengan dasbor/orkestrasi. Kontribusi utama meliputi: (i) formulasi deteksi sebagai pemeringkatan yang relevan untuk triase; (ii) feature spine yang tahan kelangkaan atribut; (iii) pendekatan model yang sensitif konteks lokal dan dapat dijelaskan; serta (iv) desain implementasi siap integrasi. Batasan mencakup keterbatasan sinyal jaringan/geo/taksonomi dan ground truth sintetis; arah lanjut adalah perluasan sinyal pasca-pembersihan, pelabelan insiden nyata, dan aktivasi pipeline ujung-ke- ujung.