• Tidak ada hasil yang ditemukan

Perancangan Security Information and Event Management (SIEM) Menggunakan Open Source SIEM (OSSIM) Artikel Ilmiah

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "Perancangan Security Information and Event Management (SIEM) Menggunakan Open Source SIEM (OSSIM) Artikel Ilmiah"

Copied!
21
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 21 Halaman )

Teks penuh

(1)

Perancangan Security Information and Event Management (SIEM)

Menggunakan Open Source SIEM (OSSIM)

Artikel Ilmiah

Peneliti :

Hanief Eko Ardiyanto (672014103)

Teguh Indra Bayu, S.Kom., M.Cs.

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

2018

(2)

Perancangan Security Information and Event Management (SIEM)

Menggunakan Open Source SIEM (OSSIM)

Artikel Ilmiah

Dianjurkan Kepada

Fakultas Teknologi Informasi

Untuk Memperoleh Gelar Sarjana Komputer

Peneliti :

Hanief Eko Ardiyanto (672014103)

Teguh Indra Bayu, S.Kom., M.Cs.

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

2018

(3)
(4)
(5)
(6)
(7)

1

Perancangan Security Information and Event Management

(SIEM) Menggunakan Open Source SIEM (OSSIM)

1)Hanief Eko Ardiyanto, 2)Teguh Indra Bayu Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Jl. Dr. O. Notohamidjojo, Salatiga 50714, Indonesia

Email : 1)672014103@student.uksw.edu, 2) teguh.bayu@uksw.edu

Abstract

The role of network security is very important, one of which is to monitor network connections to guard against manipulation and internal and external attacks. A good network security helps to minimize the risks related to security such as the attacks from outside or inside in the order to corrupting, manipulation of access rights, and provide monitoring for the client on one network. With a centralized SIEM as OSSIM, OSSIM can perform network security protection and monitoring network, send alerts via email, and OSSIM can make the report and send the results to the email. With the email alert and report features, are expected to speed up the prevention process and handling if an attack or problem occurs in the network that requires a fast response.

Keywords : OSSIM, email alert, report

Abstrak

Peran keamanan jaringan sangat penting, salah satunya sebagai monitor koneksi jaringan untuk menjaga dari penyalahgunaan, serangan dari luar maupun dalam, dan sebagainya. Keamanan jaringan yang baik membantu meminimalisir risiko-risiko yang berhubungan dengan keamanan seperti serangan dari luar maupun dalam yang bertujuan untuk merusak, penyalahgunaan hak akses, dan menyediakan monitoring untuk kondisi klien pada satu jaringan. Dengan OSSIM sebagai SIEM terpusat, OSSIM dapat melakukan perlindungan keamanan jaringan dan monitoring jaringan, mengirim alert melalui email, serta OSSIM dapat membuat report dan mengirim hasil report ke email. Dengan fitur email alert dan report, diharapkan dapat mempercepat proses penanggulangan dan penanganan jika terjadi serangan atau masalah di dalam jaringan yang membutuhkan tanggapan yang cepat.

Kata Kunci : OSSIM, email alert, report

1)Mahasiswa Fakultas Teknologi Informasi Program Studi Teknik Informatika, Universitas Kristen Satya Wacana Salatiga.

(8)

2 1. Pendahuluan

Peran keamanan jaringan sangat penting, salah satunya sebagai monitor koneksi jaringan untuk menjaga dari penyalahgunaan, serangan dari luar maupun dalam, dan sebagainya. Keamanan jaringan yang baik membantu meminimalisir risiko-risiko yang berhubungan dengan keamanan seperti serangan dari luar maupun dalam yang bertujuan untuk merusak, penyalahgunaan hak akses, dan menyediakan monitoring untuk kondisi klien pada satu jaringan.

Adapun contoh tools atau software untuk mengamankan jaringan seperti SIEM (Security Information Event Management) dan IDS Intrusion Detection System IDS dan SIEM mempunyai fungsi dan kegunaan dan keunggulan masing-masing yang berguna dalam mengamankan jaringan serta monitoring jaringan dan host yang terhubung, masing-masing tools tersebut menghasilkan log dan alert yang berguna untuk administrator jaringan.

Setiap software keamanan jaringan tersebut harus dipasang dalam sebuah server. Masing-masing software kemananan menghasilkan log dan alert yang terpisah, sehingga akan memakan waktu untuk melihat setiap log dan alert di dalam tools kemanan yang berbeda. Untuk mempermudah dalam pengawasan, maka semua alert dari semua software keamanan dikirim ke email administrator jaringan.

Penelitian ini dilakukan untuk mengetahui bagaimana membuat sistem manajemen keamanan jaringan SIEM secara terpusat dan membuat report melalui email yang akan ditampilkan sesuai kebutuhan. Perancangan ini difokuskan dalam memanfaatkan OSSIM sebagai SIEM tepusat dan alert yang dikirim melalui email yang akan memudahkan dalam monitoring jaringan karena alert dari semua tools yang ada di OSSIM akan dikirim melalui satu email dengan laporan yang cukup jelas sesuai dengan masalah yang terjadi dan diharapkan dapat mempercepat proses penanggulangan dan penanganan jika terjadi serangan atau masalah di dalam jaringan yang membutuhkan tanggapan yang cepat.

2. Tinjauan Pustaka

Penelitian yang berjudul Implementasi Analisa Security Information Management Menggunakan OSSIM pada Sebuah Perusahaan membahas implementasi sistem aplikasi security information management menggunakan OSSIM pada sebuah perusahaan dengan mengintegrasikan OSSIM dengan perangkat keamanan jaringan seperti IDS dan firewall untuk memudahkan administrator, serta dilakukan pemantauan terhadap lalu lintas jaringan TCP, UDP, dan ICMP selama satu pekan. Selanjutnya melakukan skenario serangan ICMP flooding ke server OSSIM selama beberapa menit kemudian dianalisis kondisi jaringan pada hari tersebut[1].

Pada penelitian yang berjudul Pengembangan Manajemen Keamanan Sistem dan Informasi dengan Penerapan Sistem Pendeteksi menggunakan OSSIM AlienVault, bertujuan untuk mendapatkan kompilasi lengkap dari perangkat lunak yang khusus untuk penanganan keamanan sistem dan memberikan informasi kepada administrator jaringan atau keamanan sistem mengenai aspek detail dari setiap host, network, server, hingga perangkat keras yang terpasang. Informasi yang dihasilkan merupakan

(9)

3

kumpulan data spesifik kepada pengguna berdasarkan jaringan atau sensor yang telah dipasang dan berbeda sesuai dengan kebutuhan dari masing-masing pengguna, serta dapat dipergunakan sebagai arsenal dari kalangan profesional auditor keamanan sistem[2].

Pada penelitian berjudul Correlating IDS alerts with System Logs by Means of network-centric SIEM solution membahas tentang kebutuhan akan security information and event managemet (SIEM) yang berpusat pada jaringan yang berkorelasi data berdasarkan topologi jaringan, arus lalu lintas, dan perubahan terus menerus dalam jaringan tersebut. SIEM bisa menjadi lebih optimal jika digabung dengan data yang terkumpul dari sistem keamanan jaringan tersebar seperti IDS. Penelitian mengusulkan model konseptual berdasarkan pendekatan jaringan terpusat dan melakukan studi kasus dengan menggunakan Cisco NetFlow[3].

Berdasarkan penelitian yang pernah ada terkait Security information and event management serta perancangan Open Source SIEM (OSSIM) sebagai keamanan jaringan SIEM, maka akan dilakukan penelitian yang membahas mengenai perancangan Security Information and Event Management menggunakan Open Source SIEM (OSSIM). Penelitian difokuskan terhadap perancangan keamanan jaringan menggunakan OSSIM.

SIEM (Security Information Event Management) istilah Security Information Event Management (SIEM) pertama kali dikemukakan oleh Mark Nicolett dan Amrit Williams pada tahun 2005, menggambarkan tentang kemampuan perangkat aplikasi untuk mengumpulkan, menganalisis, dan menyajikan informasi tentang perangkat jaringan komputer beserta sistem keamanannya, identifikasi dan manajemen akses sistem komputer, manajemen celah keamanan sistem komputer dan policy, pencatatan log sistem operasi, database dan aplikasi, serta menyediakan data analisis ancaman yang berasal dari luar sistem[4].

SIEM juga merupakan sistem informasi keamanan terpusat yang mengoleksi informasi dan kejadian atau event security dari jaringan. Semua informasi dan event diolah dan ditampilkan dalam bentuk laporan, grafik, dan lainnya. Dengan kata lain, SIEM adalah sistem informasi yang mencakup fungsi agregasi data, korelasi data, deteksi dan alert, reporting, serta penyimpanan data untuk kebutuhan forensik. SIEM mempunyai keunggulan untuk menyediakan seluruh informasi terkait dengan keamanan jaringan komputer secara terpusat dan mengumpulkan data dari semua peralatan jaringan, dan memiliki kemampuan untuk analisis data sehingga dapat menghasilkan peringatan dan laporan yang lebih lengkap dari masing-masing serangan.

Open Source SIEM (OSSIM) adalah sistem keamanan yang komprehensif yang mencakup open source dari deteksi untuk menghasilkan metrik dan laporan ke tingkat eksekutif. AlienVault ditawarkan sebagai produk keamanan yang memungkinkan untuk mengintegrasikan ke dalam satu konsol dan semua perangkat seperti Suricata, Openvas, Ntop dan OSSEC [5]. Open Source SIEM (OSSIM) merupakan salah satu alat security information management yang berbasiskan open source yang di dalamnya terdiri dari kurang lebih 15 open source security yang menghasilkan kontrol

(10)

4

manajemen keamanan pada sebuah jaringan. Pada dasarnya OSSIM ini berupaya mengintegrasikan beberapa perangkat lunak dan existing tools lainnya untuk bekerjasama melakukan suatu penyimpanan, melakukan korelasi, dan manajemen perangkat, sehingga dapat menghasilkan kumpulan event, log, dan informasi kondisi keamanan jaringan. Dengan adanya beberapa aplikasi yang terhubung dengan OSSIM maka akan mempermudah dalam mengontrol jaringan karena semua informasi terhubung secara terpusat di satu halaman web interface. OSSIM terdiri dari 4 elemen yaitu sensor, manajemen server, database, dan frontend.

Sensor dipakai atau disebarkan pada sebuah jaringan untuk memantau aktivitas-aktivitas suatu sistem jaringan segala peristiwa atau kejadian. Sensor OSSIM menganalisis semua lalu lintas jaringan dalam mencari masalah keamanan dan anomali. Manajemen server atau pada umumnya terdiri dari beberapa komponen yaitu framework dan OSSIM server. Framework adalah suatu proses yang berjalan di belakang, yang mengikat bagian-bagian untuk bekerja sama. OSSIM server adalah pusat dari segala informasi yang diterima dari sensor. Fungsi dari manajemen server ini adalah sebagai berikut:

Server utama mempunyai tugas untuk menormalisasi, memberikan prioritas, mengoleksi, melakukan risk assesment, dan mengkorelasi perangkat-perangkat lainnya.

• Melakukan pemeliharaan dan berbagai tugas eksternal seperti backup data, backup scheduled, inventory secara online, dan melakukan scan.

Database berfungsi untuk melakukan penyimpanan data dari semua kejadian pada suatu jaringan yang berguna sebagai informasi untuk manajemen sistem. Database OSSIM menggunakan SQL database. Frontend adalah suatu konsol yang memberikan visualisasi atau menampilkan semua informasi secara web base system, semua informasi dari berbagai tools yang ada di OSSIM ditampilkan secara terpusat pada sebuah halaman web.

Ada dua fungsi dari Open Source SIEM. Fungsi yang pertama adalah deteksi. Tipe deteksi pada OSSIM terbagi menjadi dua yaitu Pattern Detectors dan Anomali Detectors. Pattern Detectors adalah program yang berjalan dengan cara mengawasi aktivitas-ativitas pada sistem jaringan. Prinsip kerjanya yaitu mencari pola-pola dari log yang menghasilkan suatu kejadian kondisi keamanan. Ketika log tersebut terdapat suatu ancaman maka dianggap sebagai suatu serangan. OSSIM dapat dikonfigurasi berdasarkan letak detektor atau sensor pattern detectors, aplikasi yang terpasang yaitu Suricata sebagai HIDS (network Intrusion Detector System) dan detektor diluar (external detectors). OSSIM mempunyai suatu koleksi sistem yang mengijinkan data dikumpulkan dari beberapa peralatan jaringan seperti sistem Windows, Linux, Unix, firewall, IDS, dan server lainnya. Anomaly Detectors cara kerjanya yaitu mendeteksi sistem dengan cara mempelajari statistik kebiasaan dari sistem jaringan atau kebiasaan norma pada jaringan. Saat jaringan beraktivitas tidak seperti biasanya akan dideteksi sebagai ancaman pada jaringan.

(11)

5

Fungsi yang kedua yaitu monitoring yang menghasilkan informasi mengenai keadaan jaringan yang dapat dipantau oleh administrator jaringan tersebut. Pemantauan terbagi menjadi dua bagian yaitu pemantauan jaringan dan ketersediaan.

• Pemantauan jaringan adalah proses pemantauan aktivitas sistem jaringan yang meliputi aktivitas yang normal dan tidak normal, lalu lintas jaringan, protokol-protokol yang dilewati sistem jaringan, dan berbagai aktivitas kondisi jaringan lainnya.

• Pemantauan ketersediaan adalah proses pemantauan untuk mendapatkan informasi keadaan aktif atau tidak aktifnya peralatan dalam jaringan. Dalam melakukan pemantauan ini, OSSIM menggunakan tools Nagios yang mempunyai kemampuan untuk mengecek, menampilkan, dan melaporkan host yang dalam keadaan mati pada satu jaringan.

OSSIM juga menyediakan satu platform terpadu dengan banyak kemampuan keamanan penting seperti asset discovery, vulnerability assesment, Intrusion detection, behavioral monitoring, dan SIEM event correlation. Semua fitur tersebut berhasil dijalankan dengan baik. Asset discovery berfungsi untuk selalu mengecek aktif tidaknya suatu aset di jaringan dan mengidentifikasi hubungan antara penggunaannya, jaringan, dan perangkat. Vulnerability assesment berfungsi menemukan titik-titik lemah dalam aset dan mengambil tindakan korektif sebelum penyerang mengeksploitasinya.

Intrusion Detection System (IDS) adalah salah satu metode untuk mengamankan jaringan yang menghambat semua serangan yang akan mengganggu sebuah jaringan. IDS pada AlienVault OSSIM mendukung IDS untuk cloud pribadi di lingkungan cloud AWS dan Azure. Network Intrusion Detection System (NIDS) mendeteksi ancaman yang diketahui dan pola serangan yang menargetkan aset yang terhubung, dilengkapi alat deteksi anomali yang memindai lalu lintas jaringan. Behavioral monitoring mengidentifikasi perilaku mencurigakan dan sistem yang mencurigakan. Behavioral monitoring menggunakan analisis dari NetFlow untuk monitoring aliran data dan service availability monitoring untuk melihat ketersediaan layanan. SIEM event correlation memberikan OSSIM kemampuan untuk menemukan dan menerapkan asosiasi logis diantara event log mentah individual yang berbeda untuk membuat keputusan keamanan informasi identifikasi dan tanggap ancaman keamanan.

3. Metode dan Perancangan

Tahapan penelitian yang digunakan dalam membuat Perancangan Security Information and Event Management (SIEM) dengan menggunakan Open Source SIEM (OSSIM) dapat dilihat pada gambar 1.

(12)

6

Gambar 1 Tahapan Penelitian

Tahap-tahap penelitian yang ditunjukkan pada gambar 1, akan dijelaskan sebagai berikut, yang pertama yaitu identifikasi masalah keamanan jaringan dan pemantauan kondisi server atau host seperti vulnerability yaitu celah keamanan pada jaringan dan availability yaitu ketersediaan layanan yang disediakan server untuk host. OSSIM sebagai SIEM diharapkan dapat melindungi jaringan dari serangan dan usaha-usaha penyusupan oleh pihak yang tidak berhak serta dapat monitoring kondisi server dan host. Kedua, sistem pendeteksi OSSIM harus mampu mendeteksi berbagai macam serangan, mencatat semua log, dan menyimpan semua data serangan pada database untuk keperluan forensik. Ketiga, OSSIM harus secara realtime melakukan monitoring, mengawasi serta mengirim alert ke administrator ketika ada serangan dan ketika kondisi server atau host mengalami masalah. Permasalahan jaringan yang dijumpai yaitu secara default, sehingga administrator harus secara berkala mengawasi dan mengecek log apakah ada serangan atau tidak dan memeriksa secara manual kondisi host atau harus memasang software monitoring tambahan untuk melakukan monitoring server dan host. Hal tersebut akan menjadi masalah jika host diserang diluar jam kerja sehingga penanganannya akan lambat karena serangan atau masalah terjadi diluar jam kerja administrator.

Identifikasi Masalah

Perancangan Sistem

(13)

7

Gambar 2. Topologi

Perancangan sistem pada tahap ini akan dilakukan analisis permasalahan dan kebutuhan dalam perancangan. Perancangan ini dimulai dari pemasangan Operating System OSSIM pada sebuah server yang sudah terhubung dengan host seperti yang ditunjukkan pada gambar 2 dan dilanjutkan dengan konfigurasi penambahan aset kemudian pengaturan service. Selanjutnya konfigurasi mail relay dan policy agar semua alert dikirim melalui email. OSSIM diharuskan mendeteksi adanya alarm vulnerability dan availability, sehingga perlu dilakukan konfigurasi policy, agar OSSIM dapat mengirim peringatan saat terjadi serangan.

Tabel 1. Konfigurasi policy

Condition Consequences

Source : alienvault Actions Send email

Even types : taxonomy SIEM : Set event priority : 2,

Sensor : alienvault Risk Assessment : 2,

Reputation : Activity – malicious host, Priority – 4, reliability – 8, direction

Logical Correlation :yes, Cross-correlation :yes, SQL storage :yes

Keterangan pada tabel 1 dijelaskan sebagai berikut, source adalah sumber server yang akan menjadi sensor dan sebagai aset untuk kondisi kebijakan tujuan. Event types atau jenis event dikonfigurasi sebagai taxonomy untuk mengumpulkan dan menyusun alert yang sejenis, reputation adalah seberapa penting prioritas agar dapat memicu alert OSSIM, actions nama dari aksi yang akan dieksekusi, dan SIEM yaitu mengaktifkan SIEM dan fiturnya.

OSSIM mempunyai fitur alert melalui email, tetapi secara default fitur tersebut dimatikan dan harus dikonfigurasi secara manual. OSSIM tidak membutuhkan tools lain atau plugin tertentu agar dapat mengirim alert melalui email. Berikut adalah konfigurasi mail server agar OSSIM dapat mengirim alert melalui email. Pada kode program 1 adalah perintah untuk membuka file ossim_setup.conf yang kemudian akan dikonfigurasi.

(14)

8

Kode program 1. Untuk menampilkan konfigurasi mail server

Kode program 2. Konfigurasi mail server

Pada kode program 2 file konfigurasi mail server, baris 1 adalah email_notify yaitu adalah alamat email yang akan digunakan untuk mengirim notifikasi, pada baris 2 adalah mailserver_relay, karena menggunakan email gmail maka mail relay harus menggunakan mail relay dari gmail yaitu smtp.gmail.com, selanjutnya baris ke 3 mailserver_relay_passwd adalah password yang digunakan untuk login email yang akan digunakan, pada baris 4 adalah mailserver_relay_port untuk outgoing mail SMTP server menggunakan port 587, selanjutnya baris ke 5 yaitu mailserver_relay_user diisi dengan email yang digunakan untuk mengirim alert.

Gambar 3. Konfigurasi email

Selanjutnya adalah konfigurasi tindakan untuk mengirim email yang ditunjukkan pada gambar 3. Berikut ini adalah penjelasan dari gambar 3, condition untuk mengatur apa yang akan memicu OSSIM untuk mengirim email, from email yang digunakan sebagai pengirim alert diisi sesuai dengan yang sudah dikonfigurasi pada mail relay server OSSIM, to adalah alamat email penerima yang akan menerima alert dari OSSIM, subject adalah subject dari email yang akan dikirim oleh OSSIM, dan yang terakhir adalah message yaitu isi dari email yang akan dikirim.

1. nano /etc/ossim_setup.conf 1. email_notify=672014103@gmail.com 2. mailserver_relay=smtp.gmail.com 3. mailserver_relay_passwd=hanip123123 4. mailserver_relay_port=587 5. mailserver_relay_user=672014103@student.uksw.edu

(15)

9

Pengujian sistem dilakukan untuk mengetahui apakah OSSIM dapat mendeteksi serangan, monitoring kondisi host serta mengirim alert melalui email dan membuat report. Pada gambar 4 termasuk dalam vulnerability scan, yang merupakan salah satu fitur OSSIM dan berfungsi untuk melakukan pengetesan kerentanan atau vulnerability ke host yang menjadi klien OSSIM sehingga memicu alert. Job Name adalah nama dari pengujian yang akan dijalankan. Select Sensor adalah IP sensor dari server OSSIM. Profile adalah jenis pengetesan yang akan dilakukan. Dengan memilih profile ultimate – full and fast scan including destructive tests, maka akan dites sekaligus dilakukan percobaan serangan ke dalam jaringan. Schedule Method adalah jadwal kapan pengetesan akan dimulai. Pada bagian advanced send an email notification adalah untuk memberi pilihan apakah hasil pengetesan akan dikirim melalui email atau tidak.

Gambar 4.Testing vulnerability scan

Untuk pengujian dan memicu alert availability dan keadaan host, host harus terhubung satu jaringan dengan server OSSIM seperti yang ditunjukkan pada topologi gambar 2. Host yang sudah terdaftar di dalam asset termasuk server OSSIM, akan dilakukan monitoring dan OSSIM akan mengirim alert jika host terputus dari jaringan, Current load atau beban server, dan host terhubung atau terputus.

(16)

10

Gambar 5. Kondisi load normal

Pada gambar 5 adalah email alert info dari kondisi localhost yang menunjukkan bahwa kondisi load localhost normal. Kondisi server sedang tidak digunakan untuk konfigurasi dan tidak digunakan untuk scan host serta membuka tampilan melalui web interface OSSIM, alert terpicu saat server pertama kali dihidupkan untuk memberitahu administrator bahwa kondisi localhost normal. Pengujian akan dilakukan dengan melakukan konfigurasi melalui terminal OSSIM dan melakukan konfigurasi serta tes scan melalui web interface OSSIM, yang bertujuan untuk membebani server OSSIM sehingga memicu alert. Berikut adalah keterangan dari gambar 5, yaitu Notification type:RECOVERY adalah jenis pemberitahuan yang diterima yaitu recovery atau pemulihan. Service:current load adalah jenis service yang mengalami masalah yaitu critical load ,critical load adalah beban kerja yang diterima oleh CPU (Central Processing Unit). Host:localhost adalah klien yang sedang dipantau kondisi current load yaitu localhost. State:OK adalah pemberitahuan bahwa tidak ada masalah yang terjadi, date/time adalah kapan pemberitahuan diterima dan additional info berisi info tambahan dari kondisi host. KondisiOK - load average: 1.37, 0.75, 0.30 yang berarti selama menit terakhir, CPU kelebihan beban sebesar 37%, selama 5 menit terakhir beban CPU kurang dari 75% atau tidak ada proses yang harus menunggu giliran dan selama 15 menit terakhir, beban CPU kurang dari 30%.

(17)

11

OSSIM berhasil melakukan monitoring server dan host selanjutnya dilakukan pengujian dengan menggunakan fitur scan di OSSIM dan OSSIM akan melakukan pengetesan serta melakukan uji coba serangan terhadap host untuk memicu sebuah alert. Berikut adalah notifikasi email alert hasil dari vulnerability scan, yang memicu alert adalah berupa serangan web attack dan SQL injection seperti yang ditunjukkan pada gambar 6. Berikut adalah penjelasan dari gambar 6, Title: ALA11 - AV-FREE-FEED Web attack, SQL injection attacks detected against 0.0.0.0 (192.168.10.5:0 -> 0.0.0.0:0) adalah judul dari detail kejadian serangan yang terdeksi terhadap IP 192.168.10.5. Status: Open adalah keadaan dari alarm apakah open atau closed, untuk alarm yang memiliki status sebagai closed maka tidak akan ditampilkan dalam tampilan daftar alarm. Type: alarm–generic adalah tipe dari email pemberitahuan yaitu alarm-generic. Priority: 1 (Low) adalah prioritas dari email alarm yang diterima. In charge: HANIEF EKO ARDIYANTO yaitu nama yang bertanggung jawab sebagai administrator OSSIM AlienVault dan Created: 2018-07-29 12:06:47 (00:00 ago) tanggal dan waktu kapan alarm yang telah dibuat.

Gambar 6.Email alert serangan

Pada gambar 7 adalah deskripsi hasil pengujian vulnerability scan yang berhasil dilakukan dan OSSIM di dalam email alert berisi description yang mendeskripsikan tentang kejadian atau peristiwa yang terjadi pada host yang dipindai sehingga memicu alert. Pada gambar 7 terdapat beberapa deskripsi serangan dan berikut adalah keterangan yang ditunjukkan pada gambar 8, Event Type: AlienVault HIDS-recon adalah tipe peristiwa yang terjadi dari pendeteksi ancaman yang memicu alert yaitu host intrusion detection system AlienVault selanjutnya adalah Event description: AlienVault HIDS: Multiple web server 400 error codes from same source IP yaitu deskripsi tentang peristiwa yang terjadi dan event apa yang terjadi sehingga memicu alert, Ocurrences: 79 First Ocurrence: 07-29 04:52:49 Last Ocurrence: 2018-07-29 05:06:35 adalah waktu kemunculan awal dan berakhirnya peristiwa, Number of different sources: 1 Number of different destinations: 1 yaitu jumlah sumber serangan

(18)

12

atau peristiwa yang terjadi dan Source: 192.168.10.5 dest: 0.0.0.0 adalah alamat IP sumber dan tujuan. Action yaitu aksi yang diberikan, akan kosong jika tidak ada aksi yang dilakukan

Event type:AlienVault HIDS-SQL_injection recon adalah tipe peristiwa yang terjadi yaitu dari pendeteksi ancaman host intrusion detection system AlienVault yang mendeteksi adanya serangan SQL injection, selanjutnya event description:AlienVault HIDS:SQL injection attempt adalah deskripsi tentang peristiwa yang terjadi sehingga memicu alert yaitu percobaan serangan SQL injection. Ocurrences: 6 First Ocurrence: 2018-07-29 05:06:43 Last Ocurrence: 2018-07-29 05:06:47 adalah waktu kemunculan awal dan berakhirnya peristiwa atau serangan, Number of different sources:1 Number of different destinations:1 yaitu jumlah sumber serangan atau peristiwa yang terjadi Source: 192.168.10.5 Dest: 0.0.0.0 adalah alamat IP sumber dan tujuan dan action yaitu aksi yang diberikan, akan kosong jika tidak ada aksi yang dilakukan.

Event Type: directive_alert adalah tipe peristiwa yang terjadi yaitu dari pendeteksi ancaman directive_alert selanjutnya event description: directive_event: AV-FREE-FEED Web attack, SQL injection attacks detected against DST_IP adalah deskripsi tentang peristiwa yang terjadi sehingga memicu alert yaitu serangan SQL injection yang terdeteksi menyerang IP tujuan. Ocurrences: 1 First Ocurrence: 2018-07-29 05:06:47 Last Ocurrence: 2018-2018-07-29 05:06:47 adalah waktu kemunculan awal dan berakhirnya peristiwa atau serangan. Number of different sources:1 Number of different destinations: 1 yaitu jumlah sumber serangan atau peristiwa yang terjadi Source: 192.168.10.5 dest: 0.0.0.0 adalah alamat IP sumber dan tujuan dan action yaitu aksi yang diberikan, akan kosong jika tidak ada aksi yang dilakukan.

(19)

13

Pada gambar 8, merupakan alert dari kondisi critical load server OSSIM setelah dilakukan pengujian dengan membebani kerja server OSSIM, alarm terpicu karena kondisi CPU mengalami kelebihan beban. Pada email peringatan load critical berisi keterangan notification type: PROBLEM yaitu jenis notifikasi yang diterima dan notifikasi jenis problem adalah notifikasi yang memperingatkan bahwa telah terjadi masalah, service adalah jenis service yang mengalami masalah yaitu critical load ,critical load adalah beban kerja yang diterima oleh CPU (Central Processing Unit), host:localhost adalah klien yang mengalami masalah critical host yaitu localhost, address:127.0.0.1 adalah alamat IP dari localhost, State:Critical adalah pemberitahuan jenis problem dan critical yang memberitahukan bahwa kondisi critical load sedang mengalami masalah kritis dan additional info adalah info tambahan tentang load average:13.47, 8.57, 3.83 yang artinya selama menit terakhir CPU kelebihan beban dengan 1247 proses harus menunggu giliran, selama 5 menit terakhir CPU kelebihan beban dengan 757 proses harus menunggu giliran dan selama 15 menit terakhir CPU kelebihan beban dengan 283 proses harus menunggu giliran.

Gambar 8.Emailalert kondisi current load host

Selanjutnya adalah OSSIM diharapkan dapat membuat report yang dikirim melalui email seperti yang ditunjukkan pada gambar 9. Berikut adalah penjelasan dari gambar 9 yaitu, scan time adalah durasi waktu saat dilakukan scan, profile adalah jenis metode yang dilakukan saat scan yaitu Ultimate – Full and Fast scan including Destructive mode, dengan mode tersebut berarti telah dilakukan scan secara menyeluruh dilanjutkan dengan simulasi serangan yang dapat memicu alarm. Diagram lingkaran adalah diagram yang menunjukkan total dari vulnerability identified yang terdeteksi, yaitu ada high dan info. High adalah alarm resiko yang mempunyai nilai tinggi dan beresiko merusak sistem, info adalah alarm yang berhubungan dengan service seperti kondisi SSH, HTTP, FTP dan lain lain.

(20)

14

Gambar 9.Vulnerability scan report

5. Simpulan

Berdasarkan penelitian yang berjudul Security Information and Event Management(SIEM) menggunakan Open Source SIEM (OSSIM), serta dari hasil dan pembahasan dapat ditarik kesimpulan bahwa dengan menggunakan software OSSIM sebagai Open Source SIEM dapat melakukan perlindungan keamanan jaringan dan monitoring jaringan, serta dengan adanya fitur HIDS dan NIDS OSSIM dapat mendeteksi ancaman kerentanan atau vulnerability, OSSIM dapat mengirim alert vulnerability dan availability melalui email, OSSIM dapat membuat report dan mengirim hasil report ke email. Konfigurasi email alert tidak membutuhkan email server dan plugin tambahan, tetapi untuk memicu alarm atau alert harus dikonfigurasi policy-nya. Pada penelitian ini tidak terlepas dari kekurangan yang kemungkinan dapat disempurnakan pada penelitian lain. Ada beberapa saran yang bisa dijadikan sebagai tambahan seperti menggunakan versi berbayar untuk memanfaatkan fitur lengkap.

(21)

15 6. Daftar Pustaka

[1] Rihal M., 2010, “Implementasi Analisa Security Information Management Menggunakan OSSIM pada Sebuah Perusahaan”, http://lib.ui.ac.id/file?file=digital/20249100-R031079.pdf, Diakses pada 1 Agustus 2018

[2] Suteja Renaldy, B., 2011, “Pengembangan Manajemen Keamanan Sistem dan Informasi dengan Penerapan Sistem Pendeteksi menggunakan OSSIM alienvault”.

http://repository.maranatha.edu/2160/1/Pengembangan%20Manajemen%20Kea manan%20Sistem%20dan%20Informasi%20dengan%20Penerapan%20Sistem %20Pendeteksi%20Menggunakan%20OSSIM%20Alienvault.pdf. Diakses pada 1 Agustus 2018

[3] A, Bråthen., 2011., “Correlating IDS alerts with System Logs by Means of

network-centric SIEM solution”,

https://brage.bibsys.no/xmlui/bitstream/handle/11250/143982/Andreas%20Br% C3%A5then.pdf?sequence=1, Diakses pada 1 Agustus 2018

[4] Rizal Mufti., 2011, “RANCANG BANGUN SISTEM PENCEGAHAN PENYUSUPAN PADA JARINGAN KOMPUTER BERBASIS CYBEROAM”, https://media.neliti.com/media/publications/173986-ID-rancang-bangun-sistem-pencegahan-penyusu.pdf, Diakses pada 1 Agustus 2018

[5] Ruiz Javier. https://www.alienvault.com/products/ossim. Diakses pada 1 Agustus 2018

Gambar

Gambar 2. Topologi
Gambar 3. Konfigurasi email
Gambar 4. Testing vulnerability scan
Gambar 5. Kondisi load normal
+5

Referensi

Unduh sekarang ( PDF - 21 Halaman - 1.26 MB )

Dokumen terkait

Tanggungjawab Bank terhadap Pihak Ketiga yang Merubah PIN Internet Banking dan Mengalihkan Dana Nasabah Ditinjau Dari Undang-undang Perbankan

Pada dasarnya internet banking memiliki tiga tahap pelayanan yang ditawarkan kepada nasabahnya, yaitu pertama , layanan informasi ( informational ) dimana bank hanya

Analisis hukum Islam terhadap pembayaran uang muka dalam produk cicil emas di Bank Syariah Mandiri Gresik

tidak dapat membayar atau melunasi pembayaran maka uang muka (Down Payment) yang telah dibayarkan oleh pembeli (nasabah) di awal transaksi dinyatakan hangus

Masa Gestasi dalam Hubungan Legalitas Aborsi Akibat Perkosaan Berdasarkan Peraturan Pemerintah Nomor 61 Tahun 2014 Tentang Kesehatan Reproduksi Menurut Tinjauan Normatif

Hak-hak wanita korban perkosaan yang ingin melakukan aborsi tercermin dalam pengaturan Pasal 37 Peraturan Pemerintah Nomor 61 Tahun 2014 yang mengatur bahwa

STATUS STSK DALAM KAITANNYA DENGAN DAUR BAHAN BAKAR NUKLIR. M. Iyos R. Subki Deputi Bidang Pengkajian Sais dan Teknologi Nuklir

Pada umumnya penyimpanan bahan bakar bekas dilempatkan di reaktor (dalam kolam berisi air) selaina 5 tahun atau lebih dengan makstid memberikan tempat untuk kedamratan unloading

Peran Masyarakat Sipil Keagamaan Di Tengah Pandemi: Analisis Peran Nahdlotul Ulama (NU) Dalam Menghadapi Pandemi Covid 19 Di Indonesia

Nahdlotul ulama (NU) mempunyai peranan yang memang tergolong urgensi dalam penanggulangan covid-19 yang senantiasa bersinergi dengan pemerintah pusat dan daerah

SINERGI PERILAKU YG EFISIEN ENERGI Dengan PROGRAM RAMAH LINGKUNGAN Oleh: Prabang Setyono

SO2 (mg/m3), Cakupan area pengontrolan debu (%), Cakupan area produksi gas dalam kota (%), Kendaraan yang memenuhi standar pembuangan asap (%), total emisi sulfur dioxida, emisi

PENGARUH ISLAMIC GOVERNANCE SCORE

72 Artinya: “Dan belanjakanlah (harta bendamu) di jalan Allah, dan janganlah kamu menjatuhkan dirimu sendiri ke dalam kebinasaan, dan berbuat baiklah, karena

P U T U S A N. Nomor 250/PDT/2016/PT.BDG. DEMI KEADILAN BERDASARKAN KETUHANAN YANG MAHA ESA

kuasa Pembanding semula Tergugat dalam Konvensi/Penggugat dalam Rekonvensi tersebut ternyata merupakan pengulangan dari Dalil jawaban dan Duplik Tergugat/Pembanding

Image