-
Perancangan Security Information and Event Management (SIEM)
Menggunakan Open Source SIEM (OSSIM)
Artikel Ilmiah
Peneliti :
Hanief Eko Ardiyanto (672014103)
Teguh Indra Bayu, S.Kom., M.Cs.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
2018
-
Perancangan Security Information and Event Management (SIEM)
Menggunakan Open Source SIEM (OSSIM)
Artikel Ilmiah
Dianjurkan Kepada
Fakultas Teknologi Informasi
Untuk Memperoleh Gelar Sarjana Komputer
Peneliti :
Hanief Eko Ardiyanto (672014103)
Teguh Indra Bayu, S.Kom., M.Cs.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
2018
-
1
Perancangan Security Information and Event Management
(SIEM) Menggunakan Open Source SIEM (OSSIM)
1)Hanief Eko Ardiyanto, 2)Teguh Indra Bayu
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Dr. O. Notohamidjojo, Salatiga 50714, Indonesia
Email : 1)[email protected], 2) [email protected]
Abstract
The role of network security is very important, one of which is
to monitor network
connections to guard against manipulation and internal and
external attacks. A good
network security helps to minimize the risks related to security
such as the attacks from
outside or inside in the order to corrupting, manipulation of
access rights, and provide
monitoring for the client on one network. With a centralized
SIEM as OSSIM, OSSIM
can perform network security protection and monitoring network,
send alerts via email,
and OSSIM can make the report and send the results to the email.
With the email alert
and report features, are expected to speed up the prevention
process and handling if
an attack or problem occurs in the network that requires a fast
response.
Keywords : OSSIM, email alert, report
Abstrak
Peran keamanan jaringan sangat penting, salah satunya sebagai
monitor koneksi
jaringan untuk menjaga dari penyalahgunaan, serangan dari luar
maupun dalam, dan
sebagainya. Keamanan jaringan yang baik membantu meminimalisir
risiko-risiko yang
berhubungan dengan keamanan seperti serangan dari luar maupun
dalam yang
bertujuan untuk merusak, penyalahgunaan hak akses, dan
menyediakan monitoring
untuk kondisi klien pada satu jaringan. Dengan OSSIM sebagai
SIEM terpusat,
OSSIM dapat melakukan perlindungan keamanan jaringan dan
monitoring jaringan,
mengirim alert melalui email, serta OSSIM dapat membuat report
dan mengirim hasil
report ke email. Dengan fitur email alert dan report, diharapkan
dapat mempercepat
proses penanggulangan dan penanganan jika terjadi serangan atau
masalah di dalam
jaringan yang membutuhkan tanggapan yang cepat.
Kata Kunci : OSSIM, email alert, report
1)Mahasiswa Fakultas Teknologi Informasi Program Studi Teknik
Informatika, Universitas Kristen Satya Wacana
Salatiga. 2) Pengajar Fakultas Teknologi Informasi, Universitas
Kristen Satya Wacana Salatiga
mailto:[email protected]
-
2
1. Pendahuluan Peran keamanan jaringan sangat penting, salah
satunya sebagai monitor koneksi
jaringan untuk menjaga dari penyalahgunaan, serangan dari luar
maupun dalam, dan
sebagainya. Keamanan jaringan yang baik membantu meminimalisir
risiko-risiko yang
berhubungan dengan keamanan seperti serangan dari luar maupun
dalam yang
bertujuan untuk merusak, penyalahgunaan hak akses, dan
menyediakan monitoring
untuk kondisi klien pada satu jaringan.
Adapun contoh tools atau software untuk mengamankan jaringan
seperti SIEM
(Security Information Event Management) dan IDS Intrusion
Detection System IDS
dan SIEM mempunyai fungsi dan kegunaan dan keunggulan
masing-masing yang
berguna dalam mengamankan jaringan serta monitoring jaringan dan
host yang
terhubung, masing-masing tools tersebut menghasilkan log dan
alert yang berguna
untuk administrator jaringan.
Setiap software keamanan jaringan tersebut harus dipasang dalam
sebuah server.
Masing-masing software kemananan menghasilkan log dan alert yang
terpisah,
sehingga akan memakan waktu untuk melihat setiap log dan alert
di dalam tools
kemanan yang berbeda. Untuk mempermudah dalam pengawasan, maka
semua alert
dari semua software keamanan dikirim ke email administrator
jaringan.
Penelitian ini dilakukan untuk mengetahui bagaimana membuat
sistem
manajemen keamanan jaringan SIEM secara terpusat dan membuat
report melalui
email yang akan ditampilkan sesuai kebutuhan. Perancangan ini
difokuskan dalam
memanfaatkan OSSIM sebagai SIEM tepusat dan alert yang dikirim
melalui email
yang akan memudahkan dalam monitoring jaringan karena alert dari
semua tools yang
ada di OSSIM akan dikirim melalui satu email dengan laporan yang
cukup jelas sesuai
dengan masalah yang terjadi dan diharapkan dapat mempercepat
proses
penanggulangan dan penanganan jika terjadi serangan atau masalah
di dalam jaringan
yang membutuhkan tanggapan yang cepat.
2. Tinjauan Pustaka Penelitian yang berjudul Implementasi
Analisa Security Information
Management Menggunakan OSSIM pada Sebuah Perusahaan membahas
implementasi
sistem aplikasi security information management menggunakan
OSSIM pada sebuah
perusahaan dengan mengintegrasikan OSSIM dengan perangkat
keamanan jaringan
seperti IDS dan firewall untuk memudahkan administrator, serta
dilakukan pemantauan
terhadap lalu lintas jaringan TCP, UDP, dan ICMP selama satu
pekan. Selanjutnya
melakukan skenario serangan ICMP flooding ke server OSSIM selama
beberapa menit
kemudian dianalisis kondisi jaringan pada hari tersebut[1].
Pada penelitian yang berjudul Pengembangan Manajemen Keamanan
Sistem
dan Informasi dengan Penerapan Sistem Pendeteksi menggunakan
OSSIM AlienVault,
bertujuan untuk mendapatkan kompilasi lengkap dari perangkat
lunak yang khusus
untuk penanganan keamanan sistem dan memberikan informasi kepada
administrator
jaringan atau keamanan sistem mengenai aspek detail dari setiap
host, network, server,
hingga perangkat keras yang terpasang. Informasi yang dihasilkan
merupakan
-
3
kumpulan data spesifik kepada pengguna berdasarkan jaringan atau
sensor yang telah
dipasang dan berbeda sesuai dengan kebutuhan dari masing-masing
pengguna, serta
dapat dipergunakan sebagai arsenal dari kalangan profesional
auditor keamanan
sistem[2].
Pada penelitian berjudul Correlating IDS alerts with System Logs
by Means of
network-centric SIEM solution membahas tentang kebutuhan akan
security
information and event managemet (SIEM) yang berpusat pada
jaringan yang
berkorelasi data berdasarkan topologi jaringan, arus lalu
lintas, dan perubahan terus
menerus dalam jaringan tersebut. SIEM bisa menjadi lebih optimal
jika digabung
dengan data yang terkumpul dari sistem keamanan jaringan
tersebar seperti IDS.
Penelitian mengusulkan model konseptual berdasarkan pendekatan
jaringan terpusat
dan melakukan studi kasus dengan menggunakan Cisco
NetFlow[3].
Berdasarkan penelitian yang pernah ada terkait Security
information and event
management serta perancangan Open Source SIEM (OSSIM) sebagai
keamanan
jaringan SIEM, maka akan dilakukan penelitian yang membahas
mengenai
perancangan Security Information and Event Management
menggunakan Open Source
SIEM (OSSIM). Penelitian difokuskan terhadap perancangan
keamanan jaringan
menggunakan OSSIM.
SIEM (Security Information Event Management) istilah Security
Information
Event Management (SIEM) pertama kali dikemukakan oleh Mark
Nicolett dan Amrit
Williams pada tahun 2005, menggambarkan tentang kemampuan
perangkat aplikasi
untuk mengumpulkan, menganalisis, dan menyajikan informasi
tentang perangkat
jaringan komputer beserta sistem keamanannya, identifikasi dan
manajemen akses
sistem komputer, manajemen celah keamanan sistem komputer dan
policy, pencatatan
log sistem operasi, database dan aplikasi, serta menyediakan
data analisis ancaman
yang berasal dari luar sistem[4].
SIEM juga merupakan sistem informasi keamanan terpusat yang
mengoleksi
informasi dan kejadian atau event security dari jaringan. Semua
informasi dan event
diolah dan ditampilkan dalam bentuk laporan, grafik, dan
lainnya. Dengan kata lain,
SIEM adalah sistem informasi yang mencakup fungsi agregasi data,
korelasi data,
deteksi dan alert, reporting, serta penyimpanan data untuk
kebutuhan forensik. SIEM
mempunyai keunggulan untuk menyediakan seluruh informasi terkait
dengan
keamanan jaringan komputer secara terpusat dan mengumpulkan data
dari semua
peralatan jaringan, dan memiliki kemampuan untuk analisis data
sehingga dapat
menghasilkan peringatan dan laporan yang lebih lengkap dari
masing-masing
serangan.
Open Source SIEM (OSSIM) adalah sistem keamanan yang
komprehensif yang
mencakup open source dari deteksi untuk menghasilkan metrik dan
laporan ke tingkat
eksekutif. AlienVault ditawarkan sebagai produk keamanan yang
memungkinkan
untuk mengintegrasikan ke dalam satu konsol dan semua perangkat
seperti Suricata,
Openvas, Ntop dan OSSEC [5]. Open Source SIEM (OSSIM) merupakan
salah satu
alat security information management yang berbasiskan open
source yang di dalamnya
terdiri dari kurang lebih 15 open source security yang
menghasilkan kontrol
-
4
manajemen keamanan pada sebuah jaringan. Pada dasarnya OSSIM ini
berupaya
mengintegrasikan beberapa perangkat lunak dan existing tools
lainnya untuk
bekerjasama melakukan suatu penyimpanan, melakukan korelasi, dan
manajemen
perangkat, sehingga dapat menghasilkan kumpulan event, log, dan
informasi kondisi
keamanan jaringan. Dengan adanya beberapa aplikasi yang
terhubung dengan OSSIM
maka akan mempermudah dalam mengontrol jaringan karena semua
informasi
terhubung secara terpusat di satu halaman web interface. OSSIM
terdiri dari 4 elemen
yaitu sensor, manajemen server, database, dan frontend.
Sensor dipakai atau disebarkan pada sebuah jaringan untuk
memantau aktivitas-
aktivitas suatu sistem jaringan segala peristiwa atau kejadian.
Sensor OSSIM
menganalisis semua lalu lintas jaringan dalam mencari masalah
keamanan dan
anomali. Manajemen server atau pada umumnya terdiri dari
beberapa komponen yaitu
framework dan OSSIM server. Framework adalah suatu proses yang
berjalan di
belakang, yang mengikat bagian-bagian untuk bekerja sama. OSSIM
server adalah
pusat dari segala informasi yang diterima dari sensor. Fungsi
dari manajemen server
ini adalah sebagai berikut:
• Server utama mempunyai tugas untuk menormalisasi, memberikan
prioritas, mengoleksi, melakukan risk assesment, dan mengkorelasi
perangkat-perangkat
lainnya.
• Melakukan pemeliharaan dan berbagai tugas eksternal seperti
backup data, backup scheduled, inventory secara online, dan
melakukan scan.
Database berfungsi untuk melakukan penyimpanan data dari semua
kejadian
pada suatu jaringan yang berguna sebagai informasi untuk
manajemen sistem.
Database OSSIM menggunakan SQL database. Frontend adalah suatu
konsol yang
memberikan visualisasi atau menampilkan semua informasi secara
web base system,
semua informasi dari berbagai tools yang ada di OSSIM
ditampilkan secara terpusat
pada sebuah halaman web.
Ada dua fungsi dari Open Source SIEM. Fungsi yang pertama adalah
deteksi.
Tipe deteksi pada OSSIM terbagi menjadi dua yaitu Pattern
Detectors dan Anomali
Detectors. Pattern Detectors adalah program yang berjalan dengan
cara mengawasi
aktivitas-ativitas pada sistem jaringan. Prinsip kerjanya yaitu
mencari pola-pola dari
log yang menghasilkan suatu kejadian kondisi keamanan. Ketika
log tersebut terdapat
suatu ancaman maka dianggap sebagai suatu serangan. OSSIM dapat
dikonfigurasi
berdasarkan letak detektor atau sensor pattern detectors,
aplikasi yang terpasang yaitu
Suricata sebagai HIDS (network Intrusion Detector System) dan
detektor diluar
(external detectors). OSSIM mempunyai suatu koleksi sistem yang
mengijinkan data
dikumpulkan dari beberapa peralatan jaringan seperti sistem
Windows, Linux, Unix,
firewall, IDS, dan server lainnya. Anomaly Detectors cara
kerjanya yaitu mendeteksi
sistem dengan cara mempelajari statistik kebiasaan dari sistem
jaringan atau kebiasaan
norma pada jaringan. Saat jaringan beraktivitas tidak seperti
biasanya akan dideteksi
sebagai ancaman pada jaringan.
-
5
Fungsi yang kedua yaitu monitoring yang menghasilkan informasi
mengenai
keadaan jaringan yang dapat dipantau oleh administrator jaringan
tersebut. Pemantauan
terbagi menjadi dua bagian yaitu pemantauan jaringan dan
ketersediaan.
• Pemantauan jaringan adalah proses pemantauan aktivitas sistem
jaringan yang meliputi aktivitas yang normal dan tidak normal, lalu
lintas jaringan, protokol-
protokol yang dilewati sistem jaringan, dan berbagai aktivitas
kondisi jaringan
lainnya.
• Pemantauan ketersediaan adalah proses pemantauan untuk
mendapatkan informasi keadaan aktif atau tidak aktifnya peralatan
dalam jaringan. Dalam
melakukan pemantauan ini, OSSIM menggunakan tools Nagios
yang
mempunyai kemampuan untuk mengecek, menampilkan, dan melaporkan
host
yang dalam keadaan mati pada satu jaringan.
OSSIM juga menyediakan satu platform terpadu dengan banyak
kemampuan
keamanan penting seperti asset discovery, vulnerability
assesment, Intrusion detection,
behavioral monitoring, dan SIEM event correlation. Semua fitur
tersebut berhasil
dijalankan dengan baik. Asset discovery berfungsi untuk selalu
mengecek aktif
tidaknya suatu aset di jaringan dan mengidentifikasi hubungan
antara penggunaannya,
jaringan, dan perangkat. Vulnerability assesment berfungsi
menemukan titik-titik
lemah dalam aset dan mengambil tindakan korektif sebelum
penyerang
mengeksploitasinya.
Intrusion Detection System (IDS) adalah salah satu metode untuk
mengamankan
jaringan yang menghambat semua serangan yang akan mengganggu
sebuah jaringan.
IDS pada AlienVault OSSIM mendukung IDS untuk cloud pribadi di
lingkungan cloud
AWS dan Azure. Network Intrusion Detection System (NIDS)
mendeteksi ancaman
yang diketahui dan pola serangan yang menargetkan aset yang
terhubung, dilengkapi
alat deteksi anomali yang memindai lalu lintas jaringan.
Behavioral monitoring
mengidentifikasi perilaku mencurigakan dan sistem yang
mencurigakan. Behavioral
monitoring menggunakan analisis dari NetFlow untuk monitoring
aliran data dan
service availability monitoring untuk melihat ketersediaan
layanan. SIEM event
correlation memberikan OSSIM kemampuan untuk menemukan dan
menerapkan
asosiasi logis diantara event log mentah individual yang berbeda
untuk membuat
keputusan keamanan informasi identifikasi dan tanggap ancaman
keamanan.
3. Metode dan Perancangan Tahapan penelitian yang digunakan
dalam membuat Perancangan Security
Information and Event Management (SIEM) dengan menggunakan Open
Source SIEM
(OSSIM) dapat dilihat pada gambar 1.
-
6
Gambar 1 Tahapan Penelitian Tahap-tahap penelitian yang
ditunjukkan pada gambar 1, akan dijelaskan sebagai
berikut, yang pertama yaitu identifikasi masalah keamanan
jaringan dan pemantauan
kondisi server atau host seperti vulnerability yaitu celah
keamanan pada jaringan dan
availability yaitu ketersediaan layanan yang disediakan server
untuk host. OSSIM
sebagai SIEM diharapkan dapat melindungi jaringan dari serangan
dan usaha-usaha
penyusupan oleh pihak yang tidak berhak serta dapat monitoring
kondisi server dan
host. Kedua, sistem pendeteksi OSSIM harus mampu mendeteksi
berbagai macam
serangan, mencatat semua log, dan menyimpan semua data serangan
pada database
untuk keperluan forensik. Ketiga, OSSIM harus secara realtime
melakukan
monitoring, mengawasi serta mengirim alert ke administrator
ketika ada serangan dan
ketika kondisi server atau host mengalami masalah. Permasalahan
jaringan yang
dijumpai yaitu secara default, sehingga administrator harus
secara berkala mengawasi
dan mengecek log apakah ada serangan atau tidak dan memeriksa
secara manual
kondisi host atau harus memasang software monitoring tambahan
untuk melakukan
monitoring server dan host. Hal tersebut akan menjadi masalah
jika host diserang diluar
jam kerja sehingga penanganannya akan lambat karena serangan
atau masalah terjadi
diluar jam kerja administrator.
Identifikasi Masalah
Perancangan Sistem
Pengujian Sistem
-
7
Gambar 2. Topologi
Perancangan sistem pada tahap ini akan dilakukan analisis
permasalahan dan
kebutuhan dalam perancangan. Perancangan ini dimulai dari
pemasangan Operating
System OSSIM pada sebuah server yang sudah terhubung dengan host
seperti yang
ditunjukkan pada gambar 2 dan dilanjutkan dengan konfigurasi
penambahan aset
kemudian pengaturan service. Selanjutnya konfigurasi mail relay
dan policy agar
semua alert dikirim melalui email. OSSIM diharuskan mendeteksi
adanya alarm
vulnerability dan availability, sehingga perlu dilakukan
konfigurasi policy, agar
OSSIM dapat mengirim peringatan saat terjadi serangan. Tabel 1.
Konfigurasi policy
Condition Consequences
Source : alienvault Actions Send email
Even types : taxonomy SIEM : Set event priority : 2,
Sensor : alienvault Risk Assessment : 2,
Reputation : Activity – malicious
host, Priority – 4, reliability – 8, direction
Logical Correlation :yes,
Cross-correlation :yes,
SQL storage :yes
Keterangan pada tabel 1 dijelaskan sebagai berikut, source
adalah sumber server
yang akan menjadi sensor dan sebagai aset untuk kondisi
kebijakan tujuan. Event types
atau jenis event dikonfigurasi sebagai taxonomy untuk
mengumpulkan dan menyusun
alert yang sejenis, reputation adalah seberapa penting prioritas
agar dapat memicu
alert OSSIM, actions nama dari aksi yang akan dieksekusi, dan
SIEM yaitu
mengaktifkan SIEM dan fiturnya.
OSSIM mempunyai fitur alert melalui email, tetapi secara default
fitur tersebut
dimatikan dan harus dikonfigurasi secara manual. OSSIM tidak
membutuhkan tools
lain atau plugin tertentu agar dapat mengirim alert melalui
email. Berikut adalah
konfigurasi mail server agar OSSIM dapat mengirim alert melalui
email. Pada kode
program 1 adalah perintah untuk membuka file ossim_setup.conf
yang kemudian akan
dikonfigurasi.
-
8
Kode program 1. Untuk menampilkan konfigurasi mail server
Kode program 2. Konfigurasi mail server
Pada kode program 2 file konfigurasi mail server, baris 1 adalah
email_notify
yaitu adalah alamat email yang akan digunakan untuk mengirim
notifikasi, pada baris
2 adalah mailserver_relay, karena menggunakan email gmail maka
mail relay harus
menggunakan mail relay dari gmail yaitu smtp.gmail.com,
selanjutnya baris ke 3
mailserver_relay_passwd adalah password yang digunakan untuk
login email yang
akan digunakan, pada baris 4 adalah mailserver_relay_port untuk
outgoing mail SMTP
server menggunakan port 587, selanjutnya baris ke 5 yaitu
mailserver_relay_user diisi
dengan email yang digunakan untuk mengirim alert.
Gambar 3. Konfigurasi email
Selanjutnya adalah konfigurasi tindakan untuk mengirim email
yang ditunjukkan
pada gambar 3. Berikut ini adalah penjelasan dari gambar 3,
condition untuk mengatur
apa yang akan memicu OSSIM untuk mengirim email, from email yang
digunakan
sebagai pengirim alert diisi sesuai dengan yang sudah
dikonfigurasi pada mail relay
server OSSIM, to adalah alamat email penerima yang akan menerima
alert dari
OSSIM, subject adalah subject dari email yang akan dikirim oleh
OSSIM, dan yang
terakhir adalah message yaitu isi dari email yang akan
dikirim.
1. nano /etc/ossim_setup.conf
1. [email protected] 2.
mailserver_relay=smtp.gmail.com 3.
mailserver_relay_passwd=hanip123123 4. mailserver_relay_port=587 5.
[email protected]
-
9
Pengujian sistem dilakukan untuk mengetahui apakah OSSIM dapat
mendeteksi
serangan, monitoring kondisi host serta mengirim alert melalui
email dan membuat
report. Pada gambar 4 termasuk dalam vulnerability scan, yang
merupakan salah satu
fitur OSSIM dan berfungsi untuk melakukan pengetesan kerentanan
atau vulnerability
ke host yang menjadi klien OSSIM sehingga memicu alert. Job Name
adalah nama
dari pengujian yang akan dijalankan. Select Sensor adalah IP
sensor dari server
OSSIM. Profile adalah jenis pengetesan yang akan dilakukan.
Dengan memilih profile
ultimate – full and fast scan including destructive tests, maka
akan dites sekaligus
dilakukan percobaan serangan ke dalam jaringan. Schedule Method
adalah jadwal
kapan pengetesan akan dimulai. Pada bagian advanced send an
email notification
adalah untuk memberi pilihan apakah hasil pengetesan akan
dikirim melalui email atau
tidak.
Gambar 4. Testing vulnerability scan
Untuk pengujian dan memicu alert availability dan keadaan host,
host harus
terhubung satu jaringan dengan server OSSIM seperti yang
ditunjukkan pada topologi
gambar 2. Host yang sudah terdaftar di dalam asset termasuk
server OSSIM, akan
dilakukan monitoring dan OSSIM akan mengirim alert jika host
terputus dari jaringan,
Current load atau beban server, dan host terhubung atau
terputus.
-
10
Gambar 5. Kondisi load normal
Pada gambar 5 adalah email alert info dari kondisi localhost
yang menunjukkan
bahwa kondisi load localhost normal. Kondisi server sedang tidak
digunakan untuk
konfigurasi dan tidak digunakan untuk scan host serta membuka
tampilan melalui web
interface OSSIM, alert terpicu saat server pertama kali
dihidupkan untuk memberitahu
administrator bahwa kondisi localhost normal. Pengujian akan
dilakukan dengan
melakukan konfigurasi melalui terminal OSSIM dan melakukan
konfigurasi serta tes
scan melalui web interface OSSIM, yang bertujuan untuk membebani
server OSSIM
sehingga memicu alert. Berikut adalah keterangan dari gambar 5,
yaitu Notification
type:RECOVERY adalah jenis pemberitahuan yang diterima yaitu
recovery atau
pemulihan. Service:current load adalah jenis service yang
mengalami masalah yaitu
critical load ,critical load adalah beban kerja yang diterima
oleh CPU (Central
Processing Unit). Host:localhost adalah klien yang sedang
dipantau kondisi current
load yaitu localhost. State:OK adalah pemberitahuan bahwa tidak
ada masalah yang
terjadi, date/time adalah kapan pemberitahuan diterima dan
additional info berisi info
tambahan dari kondisi host. Kondisi OK - load average: 1.37,
0.75, 0.30 yang berarti
selama menit terakhir, CPU kelebihan beban sebesar 37%, selama 5
menit terakhir
beban CPU kurang dari 75% atau tidak ada proses yang harus
menunggu giliran dan
selama 15 menit terakhir, beban CPU kurang dari 30%.
4. Hasil dan Pembahasan
-
11
OSSIM berhasil melakukan monitoring server dan host selanjutnya
dilakukan
pengujian dengan menggunakan fitur scan di OSSIM dan OSSIM akan
melakukan
pengetesan serta melakukan uji coba serangan terhadap host untuk
memicu sebuah
alert. Berikut adalah notifikasi email alert hasil dari
vulnerability scan, yang memicu
alert adalah berupa serangan web attack dan SQL injection
seperti yang ditunjukkan
pada gambar 6. Berikut adalah penjelasan dari gambar 6, Title:
ALA11 - AV-FREE-
FEED Web attack, SQL injection attacks detected against 0.0.0.0
(192.168.10.5:0 ->
0.0.0.0:0) adalah judul dari detail kejadian serangan yang
terdeksi terhadap IP
192.168.10.5. Status: Open adalah keadaan dari alarm apakah open
atau closed, untuk
alarm yang memiliki status sebagai closed maka tidak akan
ditampilkan dalam
tampilan daftar alarm. Type: alarm–generic adalah tipe dari
email pemberitahuan yaitu
alarm-generic. Priority: 1 (Low) adalah prioritas dari email
alarm yang diterima. In
charge: HANIEF EKO ARDIYANTO yaitu nama yang bertanggung jawab
sebagai
administrator OSSIM AlienVault dan Created: 2018-07-29 12:06:47
(00:00 ago)
tanggal dan waktu kapan alarm yang telah dibuat.
Gambar 6. Email alert serangan
Pada gambar 7 adalah deskripsi hasil pengujian vulnerability
scan yang berhasil
dilakukan dan OSSIM di dalam email alert berisi description yang
mendeskripsikan
tentang kejadian atau peristiwa yang terjadi pada host yang
dipindai sehingga memicu
alert. Pada gambar 7 terdapat beberapa deskripsi serangan dan
berikut adalah
keterangan yang ditunjukkan pada gambar 8, Event Type:
AlienVault HIDS-recon
adalah tipe peristiwa yang terjadi dari pendeteksi ancaman yang
memicu alert yaitu
host intrusion detection system AlienVault selanjutnya adalah
Event description:
AlienVault HIDS: Multiple web server 400 error codes from same
source IP yaitu
deskripsi tentang peristiwa yang terjadi dan event apa yang
terjadi sehingga memicu
alert, Ocurrences: 79 First Ocurrence: 2018-07-29 04:52:49 Last
Ocurrence: 2018-
07-29 05:06:35 adalah waktu kemunculan awal dan berakhirnya
peristiwa, Number of
different sources: 1 Number of different destinations: 1 yaitu
jumlah sumber serangan
-
12
atau peristiwa yang terjadi dan Source: 192.168.10.5 dest:
0.0.0.0 adalah alamat IP
sumber dan tujuan. Action yaitu aksi yang diberikan, akan kosong
jika tidak ada aksi
yang dilakukan
Event type:AlienVault HIDS-SQL_injection recon adalah tipe
peristiwa yang
terjadi yaitu dari pendeteksi ancaman host intrusion detection
system AlienVault yang
mendeteksi adanya serangan SQL injection, selanjutnya event
description:AlienVault
HIDS:SQL injection attempt adalah deskripsi tentang peristiwa
yang terjadi sehingga
memicu alert yaitu percobaan serangan SQL injection. Ocurrences:
6 First Ocurrence:
2018-07-29 05:06:43 Last Ocurrence: 2018-07-29 05:06:47 adalah
waktu kemunculan
awal dan berakhirnya peristiwa atau serangan, Number of
different sources:1 Number
of different destinations:1 yaitu jumlah sumber serangan atau
peristiwa yang terjadi
Source: 192.168.10.5 Dest: 0.0.0.0 adalah alamat IP sumber dan
tujuan dan action yaitu
aksi yang diberikan, akan kosong jika tidak ada aksi yang
dilakukan.
Event Type: directive_alert adalah tipe peristiwa yang terjadi
yaitu dari
pendeteksi ancaman directive_alert selanjutnya event
description: directive_event:
AV-FREE-FEED Web attack, SQL injection attacks detected against
DST_IP adalah
deskripsi tentang peristiwa yang terjadi sehingga memicu alert
yaitu serangan SQL
injection yang terdeteksi menyerang IP tujuan. Ocurrences: 1
First Ocurrence: 2018-
07-29 05:06:47 Last Ocurrence: 2018-07-29 05:06:47 adalah waktu
kemunculan awal
dan berakhirnya peristiwa atau serangan. Number of different
sources:1 Number of
different destinations: 1 yaitu jumlah sumber serangan atau
peristiwa yang terjadi
Source: 192.168.10.5 dest: 0.0.0.0 adalah alamat IP sumber dan
tujuan dan action yaitu
aksi yang diberikan, akan kosong jika tidak ada aksi yang
dilakukan.
Gambar 7. Email alert vulnerability scan
-
13
Pada gambar 8, merupakan alert dari kondisi critical load server
OSSIM setelah
dilakukan pengujian dengan membebani kerja server OSSIM, alarm
terpicu karena
kondisi CPU mengalami kelebihan beban. Pada email peringatan
load critical berisi
keterangan notification type: PROBLEM yaitu jenis notifikasi
yang diterima dan
notifikasi jenis problem adalah notifikasi yang memperingatkan
bahwa telah terjadi
masalah, service adalah jenis service yang mengalami masalah
yaitu critical load
,critical load adalah beban kerja yang diterima oleh CPU
(Central Processing Unit),
host:localhost adalah klien yang mengalami masalah critical host
yaitu localhost,
address:127.0.0.1 adalah alamat IP dari localhost,
State:Critical adalah pemberitahuan
jenis problem dan critical yang memberitahukan bahwa kondisi
critical load sedang
mengalami masalah kritis dan additional info adalah info
tambahan tentang load
average:13.47, 8.57, 3.83 yang artinya selama menit terakhir CPU
kelebihan beban
dengan 1247 proses harus menunggu giliran, selama 5 menit
terakhir CPU kelebihan
beban dengan 757 proses harus menunggu giliran dan selama 15
menit terakhir CPU
kelebihan beban dengan 283 proses harus menunggu giliran.
Gambar 8. Email alert kondisi current load host
Selanjutnya adalah OSSIM diharapkan dapat membuat report yang
dikirim
melalui email seperti yang ditunjukkan pada gambar 9. Berikut
adalah penjelasan dari
gambar 9 yaitu, scan time adalah durasi waktu saat dilakukan
scan, profile adalah jenis
metode yang dilakukan saat scan yaitu Ultimate – Full and Fast
scan including
Destructive mode, dengan mode tersebut berarti telah dilakukan
scan secara
menyeluruh dilanjutkan dengan simulasi serangan yang dapat
memicu alarm. Diagram
lingkaran adalah diagram yang menunjukkan total dari
vulnerability identified yang
terdeteksi, yaitu ada high dan info. High adalah alarm resiko
yang mempunyai nilai
tinggi dan beresiko merusak sistem, info adalah alarm yang
berhubungan dengan
service seperti kondisi SSH, HTTP, FTP dan lain lain.
-
14
Gambar 9. Vulnerability scan report
5. Simpulan Berdasarkan penelitian yang berjudul Security
Information and Event
Management(SIEM) menggunakan Open Source SIEM (OSSIM), serta
dari hasil dan
pembahasan dapat ditarik kesimpulan bahwa dengan menggunakan
software OSSIM
sebagai Open Source SIEM dapat melakukan perlindungan keamanan
jaringan dan
monitoring jaringan, serta dengan adanya fitur HIDS dan NIDS
OSSIM dapat
mendeteksi ancaman kerentanan atau vulnerability, OSSIM dapat
mengirim alert
vulnerability dan availability melalui email, OSSIM dapat
membuat report dan
mengirim hasil report ke email. Konfigurasi email alert tidak
membutuhkan email
server dan plugin tambahan, tetapi untuk memicu alarm atau alert
harus dikonfigurasi
policy-nya. Pada penelitian ini tidak terlepas dari kekurangan
yang kemungkinan dapat
disempurnakan pada penelitian lain. Ada beberapa saran yang bisa
dijadikan sebagai
tambahan seperti menggunakan versi berbayar untuk memanfaatkan
fitur lengkap.
-
15
6. Daftar Pustaka [1] Rihal M., 2010, “Implementasi Analisa
Security Information Management
Menggunakan OSSIM pada Sebuah Perusahaan”,
http://lib.ui.ac.id/file?file=digital/20249100-R031079.pdf,
Diakses pada 1
Agustus 2018
[2] Suteja Renaldy, B., 2011, “Pengembangan Manajemen Keamanan
Sistem dan
Informasi dengan Penerapan Sistem Pendeteksi menggunakan
OSSIM
alienvault”.
http://repository.maranatha.edu/2160/1/Pengembangan%20Manajemen%20Kea
manan%20Sistem%20dan%20Informasi%20dengan%20Penerapan%20Sistem
%20Pendeteksi%20Menggunakan%20OSSIM%20Alienvault.pdf. Diakses
pada
1 Agustus 2018
[3] A, Bråthen., 2011., “Correlating IDS alerts with System Logs
by Means of
network-centric SIEM solution”,
https://brage.bibsys.no/xmlui/bitstream/handle/11250/143982/Andreas%20Br%
C3%A5then.pdf?sequence=1, Diakses pada 1 Agustus 2018
[4] Rizal Mufti., 2011, “RANCANG BANGUN SISTEM PENCEGAHAN
PENYUSUPAN PADA JARINGAN KOMPUTER BERBASIS CYBEROAM”,
https://media.neliti.com/media/publications/173986-ID-rancang-bangun-sistem-
pencegahan-penyusu.pdf, Diakses pada 1 Agustus 2018
[5] Ruiz Javier. https://www.alienvault.com/products/ossim.
Diakses pada 1
Agustus 2018