Serangan ransomware telah menjadi permasalahan krusial dalam keamanan siber. Penelitian ini menguji keefektifan implementasi Extended Detection and Response (XDR) yang berfokus pada endpoint dengan memanfaatkan Wazuh sebagai platform berbasis open-source, dimana sistem tersebut dikembangkan guna mengidentifikasi sekaligus menanggulangi insiden ransomware secara langsung pada lingkungan Security Operation Center (SOC) melalui penerapan strategi endpoint-centric yang dipadukan dengan threat intelligence internasional.
Pelaksanaan riset mengadopsi pendekatan simulasi insiden ransomware pada sistem endpoint Windows 10 di lingkungan Virtual Lab. Pengujian melibatkan lima jenis ransomware berbeda, meliputi Hakuna Matata, Hitobito, Babuk, DedSec, serta Unlisted Ransomware. Masing-masing varian tersebut mendemonstrasikan metode enkripsi dan pola penyerangan yang bervariasi, memungkinkan representasi komprehensif dari berbagai ancaman aktual. Konfigurasi Wazuh mencakup implementasi File Integrity Monitoring (FIM), Sysmon, konektivitas dengan API VirusTotal, ditambah mekanisme Active Response dan skrip pemulihan melalui Volume Shadow Copy Service (VSS) untuk keperluan identifikasi, penanganan, serta restorasi berkas yang terdampak.
Temuan eksperimen memperlihatkan bahwa keseluruhan varian ransomware teridentifikasi dan tertangani secara otomatis sebelum mencapai tahap enkripsi menyeluruh. Pada skenario ransomware unlisted, mekanisme pemulihan berhasil mengembalikan berkas terenkripsi dengan menggunakan fitur snapshot sistem. Mengacu pada parameter Mean Time to Detect (MTTD) dan Mean Time to Remediate (MTTR), sistem memperlihatkan kapabilitas identifikasi dan penanganan yang optimal dalam durasi minimal. Persentase keberhasilan penanganan mencapai angka sempurna pada semua sampel yang diuji.
Berdasarkan temuan tersebut, riset ini mengonfirmasi bahwa Wazuh memiliki kapabilitas sebagai implementasi XDR berbasis endpoint yang sangat handal untuk mengidentifikasi dan menanggulangi insiden ransomware, termasuk terhadap varian terbaru yang belum dikategorikan secara menyeluruh. Implementasi semacam ini memiliki signifikansi tinggi untuk organisasi yang memerlukan proteksi komprehensif dari ancaman siber dengan mengombinasikan kemampuan identifikasi lokal dan verifikasi melalui threat intelligence internasional.
Kata Kunci: Active Response, Endpoint, Extended Detection dan Response (XDR), Ransomware, Security Operation Center (SOC), Wazuh