Analisis Serangan Siber Berdasarkan Log yang Terdapat Pada HIDS

Ferry Ananda Febian
20 Nov, 2022
Mentor Rizki Yugitama, S.S.T.TP., M.T
Anggota Ferry Ananda Febian
Anggota
 Faisal Muhammad Audito Andrian
Anggota
 Miranti Apriliani
Anggota
 Grace Tri Putri Simarangkir
Anggota
 Nathan Nurdadyansyah

Analisis Serangan Siber

Menurut Keraf, “Analisa adalah sebuah proses untuk memecahkan sesuatu kedalam bagian-bagian yangs aling berkaitan satu sama lainnya”. Sedangkan menurut Komarudin ”menyatakan bahwa analisis merupakan suatu kegiatan berfikir untuk menguraikan suatu keseluruhan menjadi komponen sehingga dapat mengenal tanda-tanda dari setiap komponen, hubungan satu sama lain dan fungsi masing-masing dalam suatu keseluruhan yang terpadu”.

Analisis serangan siber merupakan proses penguraian keseluruhan dari upaya tidak sah untuk mengeksploitasi, mencuri, dan merusak informasi rahasia dengan memanfaatkan sistem komputer yang rentan.

Log HIDS

Log merupakan berkas atau dokumen yang berisi catatan semua aktivitas suatu sistem yang berjalan, baik sistem operasi maupun perangkat lunak aplikasi. Berkas log juga dapat berisi catatan atau rekaman dari dari dua buah sistem atau lebih yang saling berkomunikasi.

Log dalam HIDS atau Host-based Intrusion Detection System adalah file log sistem yang dianalisa untuk mendeteksi anomali dan perubahan yang tidak sah berdasarkan kebijakan yang telah ditetapkan. HIDS dapat meningkatkan efektifitas kebijakan berdasarkan informasi dari log sistem.

Tools HIDS

Tools HIDS yang digunakan untuk menganalisis serangan siber berdasarkan log adalah Elastic Agent.

Log Management

Log Management yang digunakan adalah ELK Stack. ELK Stack adalah tools open source yang dapat mencatat log dari seluruh perangkat yang ada di infrastruktur IT secara real-time.

Persiapan

Membuat virtual ELK stack dengan docker

Buat direktori baru dengan nama ELK
Masuk ke direktori ELK dan buat file baru dengan nama docker-compose.yml
Masukkan konfigurasi docker compose
version: "3.7"
services:
  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:7.12.0
    container_name: elasticsearch
    restart: always
    environment:
      - xpack.security.enabled=false
      - discovery.type=single-node
    ulimits: 
      memlock:
        soft: -1 
        hard: -1
      nofile:
        soft: 65536
        hard: 65536
    cap_add: 
      - IPC_LOCK
    volumes:
      - elasticsearch-data-volume:/usr/share/elasticsearch/data
    ports:
      - "9200:9200"
  kibana:
    container_name: kibana
    image: docker.elastic.co/kibana/kibana:7.12.0
    restart: always
    environment:
      SERVER_NAME: kibana
      ELASTICSEARCH_HOSTS: http://elasticsearch:9200
    ports:
      - "5601:5601"
    depends_on:
      - elasticsearch
volumes: 
  elasticsearch-data-volume:
    driver: local
Jalankan konfigurasi docker-compose di direktori yang baru dibuat
docker-compose -f docker-compose.yml up -d
Login ke dashboard ELK
http://localhost:5601

Konfigurasi Elastic

Konfigurasi elastic
sudo vim /etc/elasticsearch/elasticsearch.yml
Tambahkan IP private
#network.host: 192.168.0.1
network.bind_host: ["127.0.0.1", "203.0.113.5"]
discovery.type: single-node
xpack.security.enabled: true
Tambahkan rule firewall
sudo ufw allow in on eth1
sudo ufw allow out on eth1

Jalankan layanan Elastic
sudo systemctl start elasticsearch.service

Konfigurasi password Elastic
cd /usr/share/elasticsearch/bin
sudo ./elasticsearch-setup-passwords auto
Tambahkan baris berikut :
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,kibana_system,logstash_system,beats_system,remote_monitoring_user.
The passwords will be randomly generated and printed to the console.
Please confirm that you would like to continue [y/N]y


Changed password for user apm_system
PASSWORD apm_system = eWqzd0asAmxZ0gcJpOvn

Changed password for user kibana_system
PASSWORD kibana_system = 1HLVxfqZMd7aFQS6Uabl

Changed password for user kibana
PASSWORD kibana = 1HLVxfqZMd7aFQS6Uabl

Changed password for user logstash_system
PASSWORD logstash_system = wUjY59H91WGvGaN8uFLc

Changed password for user beats_system
PASSWORD beats_system = 2p81hIdAzWKknhzA992m

Changed password for user remote_monitoring_user
PASSWORD remote_monitoring_user = 85HF85Fl6cPslJlA8wPG

Changed password for user elastic
PASSWORD elastic = 6kNbsxQGYZ2EQJiqJpgl

Konfigurasi Kibana


Konfigurasi kibana
cd /usr/share/kibana/bin/
sudo ./kibana-encryption-keys generate -q

output yang dihasilkan
xpack.encryptedSavedObjects.encryptionKey: 66fbd85ceb3cba51c0e939fb2526f585
xpack.reporting.encryptionKey: 9358f4bc7189ae0ade1b8deeec7f38ef
xpack.security.encryptionKey: 8f847a594e4a813c4187fa93c884e92b

Salin output secure
sudo vim /etc/kibana/kibana.yml

Tambahkan baris tersebut ke setelah #i18n.locale: "en"
xpack.encryptedSavedObjects.encryptionKey: 66fbd85ceb3cba51c0e939fb2526f585
xpack.reporting.encryptionKey: 9358f4bc7189ae0ade1b8deeec7f38ef
xpack.security.encryptionKey: 8f847a594e4a813c4187fa93c884e92b
Konfigurasi jaringan kibana
sudo vim /etc/kibana/kibana.yml

#server.host: "localhost"
server.host: "ip private"
Konfigurasi kredensial kibana
sudo ./kibana-keystore add elasticsearch.username
sudo ./kibana-keystore add elasticsearch.password

Jalankan kibana
sudo systemctl start kibana.service



SSH ke Kibana dashboard

SSH ke kibana dashboard
ssh -L 5601:localhost:5601 ratix@203.0.113.5 -N

Instalasi Packet Capture

Packet Capture digunakan menangkap semua log untuk memantau semua lalu lintas pada jaringan.
  1. Masuk ke dashboard kibana lalu klik ikon Elastic.
  2. Klik add integration untuk menambahkan integrasi
  3. Lalu cari Network Packet Capture
  4. Klik Add Network Packet Capture.
  5. Konfigurasi integrasi packet tracer:

Setelah itu di bagian dialog, klik add Elastic Agent to your host. Flyout agent akan tampil.

Instalasi Elastic Agent

  1. Lewati langkah Select enrollment token, tetapi gunakan token enrolment yang baru dibuat.
  2. Unduh, instal, dan daftarkan Agen Elastic di host dengan mengikuti petunjuk di menu add agent.
  3. Setelah selesai instalasi, Elastic Agent akan mulai mengumpulkan data.

Monitoring Data

Setelah menambahkan Elastic Agent, maka sekarang dapat melakukan monitoring data:

Masuk ke navigasi menu > management > integrations, lalu klik tab integrasi yang sudah terinstall.

Pilih Network Packet Capture, lalu klik tab assets.

Aset untuk setiap integrasi dikategorikan berdasarkan dashboard, penelusuran tersimpan, dan visualisasi. Perluas setiap kategori dan pilih opsi untuk melihat data tertentu. Berikut adalah gambar dari hasil DNS Packet Tracer, visualisasi request DNS dan metrik respons.


Kesimpulan

Artikel ini telah menjelaskan cara instalasi serta konfigurasi Elasticsearch dan kibana di server virtual dengan Docker. Untuk keperluan Security Information and Event Management juga dilakukan instalasi dan konfigurasi Filebeat di server Elastic Agent. Filebeat yang terinstall di Dashboard Kibana akan mengirim log Elastic Agent ke Elasticsearch.

Elastic Agent yang di install pada dashboard kibana memungkinkan pemantauan log lebih lanjut, metrik, dan semua jenis data dari host.

Akses SSH digunakan untuk menguji keamanan yang akan diteruskan lognya ke Dashboard Elastic Agent events.

Daftar Pustaka

Sari, W. P., & Adhi Palguna Putra, I. N. (2018). Analysis of Hacker Attack Using Honeypot High Interaction. JURNAL TIARSIE, 14. https://doi.org/10.32816/tiarsie.v14i1.16

OSSEC - OnnoWiki. (n.d.). https://lms.onnocenter.or.id/wiki/index.php/OSSEC





Previous Post
No Comment
Add Comment
comment url