Pemanfaatan HIDS dengan ELK Stack Untuk Mempermudah Pemantauan

Be Dhoel
14 Nov, 2022
Team
Mentor : Rizki Yugitama, S.S.T.TP., M.T
Faisal Muhammad Audito Andrian
Miranti Apriliani
Nathan Nurdadyansyah
Grace Tri Putri Simarangkir
Ferry Ananda Febian

A. Fitur pada ELK Stack

  • Beats merupakan shipping agent yang memiliki fungsi untuk mengirimkan data log ke dalam Logstash. Contohnya (Filebeat, Winlogbeat, Packetbeat).
  • Elasticsearch menyediakan mesin pencari teks yang terdistribusi dan multitenant dengan antarmuka web Dasbor HTTP (Kibana). Selanjutnya, data akan ditampilkan, diambil, dan disimpan dengan format JSON.
  • Logstash menyediakan pipelining real-time yang dapat mengumpulkan data.
  • Kibana merupakan alat visualisasi data open source untuk Elasticsearch. Dalam Kibana tersedia antarmuka web dashboard.

B. Parameter Field Data dari Log HIDS

  • timestamp : merupakan waktu pencatatan log HIDS yang diambil dari server agen pada Dashboard Kibana.
  • agent.id : sebuah identitas yang digunakan oleh server agen yang terkoneksi dengan kibana untuk melakukan pencatatan aktivitas pada Dashboard Kibana
  • agent.name : nama agen dari server asal yang di instalasi beats yang didaftarkan pada kibana dashboard
  • agent.type : Jenis agen dari server asal. Apabila menggunakan logstash filebeat, maka tipe agen juga akan menjadi filebeat.
  • agent.version : Versi agen yang terinstall dari kibana dashboard.
  • destination.port : port tujuan dari serangan yang masuk ke agent.

C. Cara Membuat Visualisasi Data Pada Kibana

Sebagai cara untuk mempermudah analis untuk memahami dan melakukan analisis pada log HIDS, maka diperlukan suatu metode untuk melakukan pengolahan data log yang ada pada HIDS. Salah satu metode yang dapat dimanfaatkan adalah dengan merubah data log yang awalnya berupa teks biasa menjadi visualisasi berupa grafik maupun diagram yang disajikan dalam sebuah dashboard. Hal tersebut dapat dilakukan dengan menggunakan Kibana sebagai salah satu media visualisasi data dari HIDS. Adapun tahapan-tahapan yang dapat dilakukan untuk membuat visualisasi:


Instalasi

Awalnya semua komponen di install pada server. Untuk mempermudah instalasi, atur menggunakan autentikasi sebagai root dengan mengetikkan perintah berikut pada terminal:

   sudo su
   su –c “zypper install jdk1.7*.rpm”
   zypper install update-alternatives
   update-alternatives --install /usr/bin/java java /usr/java/jdk1.7*/bin/java 1065
   update-alternatives --install /usr/bin/javac javac /usr/java/jdk1.7*/bin/javac 1065
   update-alternatives --install /usr/bin/jar jar /usr/java/jdk1.7*/bin/jar 1065
   update-alternatives --install /usr/bin/javaws javaws /usr/java/jdk1.7*/bin/javaws 1065
   update-alternatives --config java

Elasticsearch versi 8.5.0 diunduh pada website www.elastic.co, kemudian di extract ke direktori /opt dengan perintah berikut.
tar xvfx elasticsearch-8.5.0.tar.gz –C /opt
 
Setelah berhasil diekstrak, maka Elasticsearch dapat dieksekusi dengan menjalankan bin/elasticsearch pada background dengan menambahkan simbol “&” pada akhir perintah.

Untuk Kibana, pertama-tama unduh Kibana versi 8.5.0 pada website www.elastic.co kemudian diekstrak pada direktori /usr/local/kibana dengan perintah berikut.
tar xvfx kibana-8.5.0.tar.gz –C /usr/local/kibana

Kibana dapat dieksekusi dengan menjalankan .bin/kibana. Untuk menjalankan Kibana pada background, pada akhir perintah ditambahkan simbol “&”.

Unduh Logstash versi terbaru dalam bentuk file tar.gz dan mengekstraknya pada direktori /usr/local/logstash.

tar xvfx logstash-8.5.0.tar.gz –C /usr/local/logstash
 
Instalasi Kopf dilakukan di dalam direktori home Elasticsearch. Berikut ini langkah-langkah instalasinya.
cd /opt/elasticsearch-1.5.0
bin/plugin --install lmenezes/elasticsearch-kopf/1.4.5
Data telah ditangkap oleh Logstash, selanjutnya data yang berupa catatan kejadian akan diteruskan ke Elasticsearch dan ditampilkan ke Kibana dashboard dengan tampilan diatas.

D. Visualisasi Data Pada Kibana

Saat membuat visualisasi berlapis, cocokkan data pada sumbu horizontal sehingga menggunakan skala yang sama. Untuk menganalisis beberapa jenis visualisasi, buat bagan area yang menampilkan harga pesanan rata-rata, lalu tambahkan lapisan bagan garis yang menampilkan jumlah pelanggan.
  1. Di dasbor, klik Buat visualisasi .
  2. Dari daftar Bidang yang tersedia , seret products.price ke ruang kerja.
  3. Di panel layer, klik Median of products.price .
  4. Klik fungsi Rata-rata .
  5. Di kolom Name , masukkan Average price, lalu klik Close .
  6. Buka tarik-turun Jenis visualisasi , lalu pilih Area .
  7. Tambahkan lapisan untuk menampilkan lalu lintas pelanggan:
  8. Di panel lapisan, klik Tambahkan lapisan > Visualisasi .
  9. Dari daftar Bidang yang tersedia , seret customer_id ke bidang Sumbu Vertikal di lapisan kedua.
  10. Di panel lapisan, klik Jumlah unik customer_id .
  11. Di bidang Nama , masukkan Number of customers.
  12. Di bidang Warna seri , masukkan #D36086.
  13. Klik Kanan untuk sisi Sumbu , lalu klik Tutup .
  14. Dari daftar Bidang yang tersedia , seret order_date ke bidang 
  15. Sumbu Horizontal di lapisan kedua.
  16. Pada layer kedua, buka menu Layer visualization type , lalu klik Line .
  17. Untuk mengubah posisi legenda, buka menu Legend , lalu pilih panah Alignment yang mengarah ke atas.
  18. Klik simpan dan kembali.

E. Log Activity di Dalam Kibana

Pada Kibana terdapat 3 log activity yaitu 
  • Logs Stream
  • Logs Anomalies 
  • Logs Categories

Logs Stream

Pada bagian halaman logs stream ini berfungsi untuk melakukan pemantauan semua aktivitas log yang mengalir dari server, mesin virtual, dan kontainer secara real time. kemudian untuk melihat tayangan pencatatan aktivitas dapat dilakukan dengan menekan tombol stream live dan dashboard akan memulai menampilkan rangkaian logs messages secara realtime. Kemudian untuk melihat historical logs dari rentang waktu yang ditentukan dapat menekan tombol stop streaming .

Log Anomalies

Pada bagian halaman log anomalies berfungsi untuk mendeteksi dan memeriksa anomali serangan pada log dan log partition di mana tempat terjadinya anomali. Yang berarti memungkinkan user untuk dapat melihat dan mendeteksi perilaku anomali yang terjadi tanpa ada campur tangan manusia sehingga tidak perlu lagi mengambil sampel data log secara manual,menghitung tarif, dan menentukan apakah tarif diharapkan.

Logs Categories

Pada bagian halaman log categories berfungsi untuk dapat mengklasifikasikan dan membuat log activity menjadi lebih terstruktur. kemudian pada bagian halaman log categories memungkinkan user  mengidentifikasi pola dalam peristiwa log dengan cepat. Alih-alih mengidentifikasi log serupa secara manual, tampilan kategorisasi log mencantumkan peristiwa log yang telah dikelompokkan berdasarkan pesan dan formatnya sehingga Anda dapat mengambil tindakan lebih cepat.

F. Event Overview Pada Kibana

Ringkasan Data

Data pada Dashboard Kibana merupakan solusi terbaik untuk menambahkannya ke Elastic Stack dengan menggunakan salah satu aplikasi yang terintegrasi, Data merupakan aset pra-paket yang tersedia untuk beragam layanan dan platform. Dengan integrasi, pengguna dapat menambahkan pemantauan log, pemantauan metrik dan melindungi sistem dari ancaman serangan.

Saat integrasi tersedia untuk Elastic Agent dan Beats, tampilan Integrasi secara default mengarah ke integrasi Elastic Agent, jika tersedia secara umum (GA) atau Generally Available. Untuk menampilkan integrasi Beats, gunakan filter yang terletak dibawah navigasi.

Menambahkan Data dengan Elastic Solution

Elastic Solution menawarkan solusi yang sering terjadi secara umum, solusi yang ditawarkan antara lain:

  • Crawler pencarian situs web. Temukan, ekstrak, dan indeks konten web ke mesin App Search menggunakan crawler situs web Enterprise Search. Telusuri di Google Drive, GitHub, Salesforce, dan banyak layanan web lainnya menggunakan sumber konten Penelusuran Workplace.
  • APM elastis. Dapatkan log, metrik, jejak, dan data uptime ke dalam Elastic Stack. Integrasi tersedia untuk layanan dan platform populer, seperti Nginx, AWS, dan MongoDB, dan tipe input umum seperti file log.
  • Keamanan Titik Akhir. Lindungi host dan kirim log, metrik, dan data keamanan titik akhir ke Elastic Security. 

Referensi

https://www.elastic.co/guide/en/kibana/current/connect-to-elasticsearch.html
https://pingkanstory.blogspot.com/2016/05/mining-data-twitter-menggunakan.html

Next Post Previous Post
No Comment
Add Comment
comment url