Skip to main content

Konfigurasi Wazuh sebagai perangkat monitoring keamanan TI

Didalam dunia keamanan teknologi informasi, menggunakan tools yg powerful dan gratis merupakan satu hal yg sangat penting dalam membantu meningkatkan visibilitas keamanan. Salah satu tools tersebut adalah Wazuh. Bagi pakar keamanan yg sudah cukup lama berkecimpung didalam dunia keamanan teknologi informasi, tools Wazuh tidaklah asing. Malah mungkin sudah menjadi salah satu tools wajib yg harus dimiliki dalam aktifitas pengamanan aset teknologi informasi.


Dalam edisi ini, saya akan membatasi materi penulisan hanya kepada fitur pemantauan yg dimiliki Wazuh yaitu pemantauan event keamanan informasi dengan fitur yg dimilikinya dengan bantuan tools tambahan yaitu Ossec. Diharapkan bagi pembaca yg masih pemula dan ingin mengetahui kapabilitas yg dimiliki Wazuh dapat terjawab setelah membaca tulisan saya ini.

Agar bisa menggunakan Wazuh dengan baik, maka diperlukan tools tambahan, seperti:

  1. Perangkat virtualisasi, seperti Virtual Box.
  2. Wazuh.
  3. Sistem operasi yang digunakan sebagai client. Dalam tulisan ini, saya menggunakan 2 sistem operasi, yaitu MS Windows 7 dan CentOS.

PERSIAPAN

Sebagai langkah awal, silahkan melakukan pengunduhan terhadap perangkat virtualisasi dan Wazuh. Lakukan proses installasi terhadap perangkat virtualisasi, kemudian import OVA wazuh ke dalamnya dan nyalakan. Sebagai informasi tambahan, sistem operasi Wazuh ini menggunakan CentOS. Sehingga dibutuhkan pengetahuan tambahan mengenai CentOS.
Edit konfigurasi IP Address nya sesuai dengan keinginan.

# vi /etc/sysconfig/network-scripts/ifcfg-eth0

Kemudian, restart service network untuk mengaktifkan konfigurasi IP Address yg telah dilakukan.

# service network restart

Aktifkan service wazuh.

# service wazuh-manager start
# service wazuh-api status

 Untuk melakukan validasi apakah langkah-langkah yg dijalankan sudah benar, akses dengan browser ke https://ip address wazuh manager tersebut.

Wazuh Landing Page

KONFIGURASI WAZUH AGENT

Setelah konfigurasi persiapan sudah selesai, selanjutnya yg kita lakukan adalah melakukan konfigurasi Wazuh agent didalam sistem operasi client, yaitu MS Windows 7 dan CentOS.

 MS Windows 7

  1. Unduh file installasi yg akan dipasang disini.
  2. Setelah selesai mengunduh, jalankan file installasi tersebut.
  3. Jalankan Wazuh agent, melalui: Start - All Programs - OSSEC - Manage Agent.
Wazuh Agent

Pada bagian Manager IP, masukkan IP Address dari Wazuh Manager yg sudah dikonfigurasi dalam tahapan persiapan diatas. Untuk mendapatkan Authentication key, lakukan langkah-langkah dibawah ini pada Wazuh Manager.

  1. Jalankan Wazuh Manager dengan melakukan # /var/ossec/bin/manage_agents
  2. Tambahkan wazuh agent dengan memilih menu  (A)dd an agent (A)
  3. Masukkan informasi yg ditanyakan selanjutnya, seperti nama agent dan IP Address agent.
  4. Dapatkan key yg dibutuhkan oleh agent untuk dapat berkomunikasi dengan Wazuh Manager dengan memilih menu (E)xtract key for an agent (E)
  5. Copy key yg didapatkan tersebut dan masukkan ke kolom "Authentication key" yg terdapat didalam wazuh agent yg terdapat pada langkah sebelumnya.
Menambahkan Wazuh Agent didalam Wazuh Manager

Membuat Key untuk digunakan Wazuh Agent
Setelah itu, lakukan validasi bahwa penambahan wazuh agent sukses dengan mengakses ke Wazuh landing page, klik menu Wazuh, kemudian disebelah atas, pilih menu Agent.

Daftar Wazuh Agent yg sudah terkoneksi di Wazuh Manager
CentOS

  1. Unduh file installasi melalui link ini.
  2. Setelah selesai mengunduh, jalankan file installasi tersebut.
  3. Jalan Wazuh Agent yg sudah terinstall dengan baris perintah #/var/ossec/bin/manage_agents.
  4. Pada menu yg tersedia, pilih (I)mport key from the server (I).
  5. Copy key yg sudah didapatkan setelah proses registrasi.
  6. Restart service wazuh agent dengan baris perintah # systemctl restart wazuh-agent.


NOTIFIKASI EVENT


Setelah konfigurasi di Wazuh Manager dan Wazuh Agent sudah dilakukan, mari kita validasi bahwa event keamanan yg terjadi didalam Wazuh Agent dikenali dan tertangkap oleh Wazuh Manager.
Fokus event keamanan yg akan dipantau adalah:

  1. Login dan logout.
  2. Penambahan akun pengguna.
  3. Modifikasi file.
Login dan Logout
Kenapa event ini menjadi penting untuk dipantau? Karena untuk melihat apakah akun yg login secara sah mempunyai akses. Kemudian, untuk melihat apakah ada percobaan brute force ke suatu aset teknologi informasi. Aset yg dimaksud adalah server, perangkat jaringan, firewall, desktop, dll.
Cara untuk melakukan validasinya cukup mudah. Hanya dengan melakukan login dan logout ke client. Mudah yah!

Login dan logout event.

Penambahan Akun Pengguna
Manajemen akun pengguna perlu dipantau secara berkala, dimana yg termasuk ke dalam aktifitas ini adalah penambahan, modifikasi dan penghapusan akun. Kenapa perlu dipantau? Karena kredential (username  dan password) merupakan salah satu komponen yg digunakan untuk melakukan proses otentikasi dan otorisasi didalam aset teknologi informasi. Cukup buat akun baru dan kemudian memvalidasi apakah event didapat oleh Wazuh.

Event penambahan akun.
Modifikasi File
Modikasi file perlu dipantau bertujuan untuk melihat data apa saja dimodikasi dan apakah dilakukan oleh akun pengguna yg memiliki akses secara sah / tidak. Modifikasi bisa dilakukan terhadap file yg digunakan oleh sistem operasi ataupun oleh aplikasi. Secara default, ossec telah memiliki daftar beberapa direktori & file yg akan dipantau. Segera melakukan pengecekan apakah ada direktori & file yg belum dipantau!

Event modifikasi file
Untuk melihat daftar direktori dan file yg secara default dipantau oleh Ossec, pada MS Windows, caranya adalah Start - All Programs - Ossec - Edit.conf.

Menambahkan direktori "System32\drivers\etc"

Restart service "Wazuh" setelah melakukan perubahan

PENUTUP

Wazuh secara fungsional cukup powerful untuk digunakan dalam memantau aktifitas event keamanan dan menambah visibilitas pada aset teknologi informasi. Disamping ossec, banyak fitur keamanan lainnya yg dapat dimanfaatkan. Tetapi tentunya dibutuhkan juga SDM yg mampu dalam melakukan pengelolaan event keamanan ini sehingga dapat melakukan validasi dan tindak lanjut terhadap event keamanan yg terjadi, apakah false positive / tidak.

Semoga bermanfaat.
- EJ

Comments

Post a Comment

Popular posts from this blog

Securing Your Password To Protect Your Data

Background Someday when I joint in an open discussion with a group of friends, I asked them the question about how often they are change their bank account PIN. I asked them in certain period start from 1 months, a quarter then in 1 year, less than 3 person raise their hands. Then I asked them again about did they already change their bank account PIN since they open their account for the first time. Parallel with previous question, less than 3 person raise their hands. Surprisingly that's the fact!
Post a Comment
Read more