Perancangan Security Information and Event Management (SIEM)
Menggunakan Open Source SIEM (OSSIM)
Artikel Ilmiah
Peneliti :
Hanief Eko Ardiyanto (672014103)
Teguh Indra Bayu, S.Kom., M.Cs.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
2018
Perancangan Security Information and Event Management (SIEM)
Menggunakan Open Source SIEM (OSSIM)
Artikel Ilmiah
Dianjurkan Kepada
Fakultas Teknologi Informasi
Untuk Memperoleh Gelar Sarjana Komputer
Peneliti :
Hanief Eko Ardiyanto (672014103)
Teguh Indra Bayu, S.Kom., M.Cs.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
2018
1
Perancangan Security Information and Event Management
(SIEM) Menggunakan Open Source SIEM (OSSIM)
1)Hanief Eko Ardiyanto, 2)Teguh Indra Bayu
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Dr. O. Notohamidjojo, Salatiga 50714, Indonesia
Email : 1)[email protected], 2) [email protected]
Abstract
The role of network security is very important, one of which is to monitor network
connections to guard against manipulation and internal and external attacks. A good
network security helps to minimize the risks related to security such as the attacks from
outside or inside in the order to corrupting, manipulation of access rights, and provide
monitoring for the client on one network. With a centralized SIEM as OSSIM, OSSIM
can perform network security protection and monitoring network, send alerts via email,
and OSSIM can make the report and send the results to the email. With the email alert
and report features, are expected to speed up the prevention process and handling if
an attack or problem occurs in the network that requires a fast response.
Keywords : OSSIM, email alert, report
Abstrak
Peran keamanan jaringan sangat penting, salah satunya sebagai monitor koneksi
jaringan untuk menjaga dari penyalahgunaan, serangan dari luar maupun dalam, dan
sebagainya. Keamanan jaringan yang baik membantu meminimalisir risiko-risiko yang
berhubungan dengan keamanan seperti serangan dari luar maupun dalam yang
bertujuan untuk merusak, penyalahgunaan hak akses, dan menyediakan monitoring
untuk kondisi klien pada satu jaringan. Dengan OSSIM sebagai SIEM terpusat,
OSSIM dapat melakukan perlindungan keamanan jaringan dan monitoring jaringan,
mengirim alert melalui email, serta OSSIM dapat membuat report dan mengirim hasil
report ke email. Dengan fitur email alert dan report, diharapkan dapat mempercepat
proses penanggulangan dan penanganan jika terjadi serangan atau masalah di dalam
jaringan yang membutuhkan tanggapan yang cepat.
Kata Kunci : OSSIM, email alert, report
1)Mahasiswa Fakultas Teknologi Informasi Program Studi Teknik Informatika, Universitas Kristen Satya Wacana
Salatiga. 2) Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga
mailto:[email protected]
2
1. Pendahuluan Peran keamanan jaringan sangat penting, salah satunya sebagai monitor koneksi
jaringan untuk menjaga dari penyalahgunaan, serangan dari luar maupun dalam, dan
sebagainya. Keamanan jaringan yang baik membantu meminimalisir risiko-risiko yang
berhubungan dengan keamanan seperti serangan dari luar maupun dalam yang
bertujuan untuk merusak, penyalahgunaan hak akses, dan menyediakan monitoring
untuk kondisi klien pada satu jaringan.
Adapun contoh tools atau software untuk mengamankan jaringan seperti SIEM
(Security Information Event Management) dan IDS Intrusion Detection System IDS
dan SIEM mempunyai fungsi dan kegunaan dan keunggulan masing-masing yang
berguna dalam mengamankan jaringan serta monitoring jaringan dan host yang
terhubung, masing-masing tools tersebut menghasilkan log dan alert yang berguna
untuk administrator jaringan.
Setiap software keamanan jaringan tersebut harus dipasang dalam sebuah server.
Masing-masing software kemananan menghasilkan log dan alert yang terpisah,
sehingga akan memakan waktu untuk melihat setiap log dan alert di dalam tools
kemanan yang berbeda. Untuk mempermudah dalam pengawasan, maka semua alert
dari semua software keamanan dikirim ke email administrator jaringan.
Penelitian ini dilakukan untuk mengetahui bagaimana membuat sistem
manajemen keamanan jaringan SIEM secara terpusat dan membuat report melalui
email yang akan ditampilkan sesuai kebutuhan. Perancangan ini difokuskan dalam
memanfaatkan OSSIM sebagai SIEM tepusat dan alert yang dikirim melalui email
yang akan memudahkan dalam monitoring jaringan karena alert dari semua tools yang
ada di OSSIM akan dikirim melalui satu email dengan laporan yang cukup jelas sesuai
dengan masalah yang terjadi dan diharapkan dapat mempercepat proses
penanggulangan dan penanganan jika terjadi serangan atau masalah di dalam jaringan
yang membutuhkan tanggapan yang cepat.
2. Tinjauan Pustaka Penelitian yang berjudul Implementasi Analisa Security Information
Management Menggunakan OSSIM pada Sebuah Perusahaan membahas implementasi
sistem aplikasi security information management menggunakan OSSIM pada sebuah
perusahaan dengan mengintegrasikan OSSIM dengan perangkat keamanan jaringan
seperti IDS dan firewall untuk memudahkan administrator, serta dilakukan pemantauan
terhadap lalu lintas jaringan TCP, UDP, dan ICMP selama satu pekan. Selanjutnya
melakukan skenario serangan ICMP flooding ke server OSSIM selama beberapa menit
kemudian dianalisis kondisi jaringan pada hari tersebut[1].
Pada penelitian yang berjudul Pengembangan Manajemen Keamanan Sistem
dan Informasi dengan Penerapan Sistem Pendeteksi menggunakan OSSIM AlienVault,
bertujuan untuk mendapatkan kompilasi lengkap dari perangkat lunak yang khusus
untuk penanganan keamanan sistem dan memberikan informasi kepada administrator
jaringan atau keamanan sistem mengenai aspek detail dari setiap host, network, server,
hingga perangkat keras yang terpasang. Informasi yang dihasilkan merupakan
3
kumpulan data spesifik kepada pengguna berdasarkan jaringan atau sensor yang telah
dipasang dan berbeda sesuai dengan kebutuhan dari masing-masing pengguna, serta
dapat dipergunakan sebagai arsenal dari kalangan profesional auditor keamanan
sistem[2].
Pada penelitian berjudul Correlating IDS alerts with System Logs by Means of
network-centric SIEM solution membahas tentang kebutuhan akan security
information and event managemet (SIEM) yang berpusat pada jaringan yang
berkorelasi data berdasarkan topologi jaringan, arus lalu lintas, dan perubahan terus
menerus dalam jaringan tersebut. SIEM bisa menjadi lebih optimal jika digabung
dengan data yang terkumpul dari sistem keamanan jaringan tersebar seperti IDS.
Penelitian mengusulkan model konseptual berdasarkan pendekatan jaringan terpusat
dan melakukan studi kasus dengan menggunakan Cisco NetFlow[3].
Berdasarkan penelitian yang pernah ada terkait Security information and event
management serta perancangan Open Source SIEM (OSSIM) sebagai keamanan
jaringan SIEM, maka akan dilakukan penelitian yang membahas mengenai
perancangan Security Information and Event Management menggunakan Open Source
SIEM (OSSIM). Penelitian difokuskan terhadap perancangan keamanan jaringan
menggunakan OSSIM.
SIEM (Security Information Event Management) istilah Security Information
Event Management (SIEM) pertama kali dikemukakan oleh Mark Nicolett dan Amrit
Williams pada tahun 2005, menggambarkan tentang kemampuan perangkat aplikasi
untuk mengumpulkan, menganalisis, dan menyajikan informasi tentang perangkat
jaringan komputer beserta sistem keamanannya, identifikasi dan manajemen akses
sistem komputer, manajemen celah keamanan sistem komputer dan policy, pencatatan
log sistem operasi, database dan aplikasi, serta menyediakan data analisis ancaman
yang berasal dari luar sistem[4].
SIEM juga merupakan sistem informasi keamanan terpusat yang mengoleksi
informasi dan kejadian atau event security dari jaringan. Semua informasi dan event
diolah dan ditampilkan dalam bentuk laporan, grafik, dan lainnya. Dengan kata lain,
SIEM adalah sistem informasi yang mencakup fungsi agregasi data, korelasi data,
deteksi dan alert, reporting, serta penyimpanan data untuk kebutuhan forensik. SIEM
mempunyai keunggulan untuk menyediakan seluruh informasi terkait dengan
keamanan jaringan komputer secara terpusat dan mengumpulkan data dari semua
peralatan jaringan, dan memiliki kemampuan untuk analisis data sehingga dapat
menghasilkan peringatan dan laporan yang lebih lengkap dari masing-masing
serangan.
Open Source SIEM (OSSIM) adalah sistem keamanan yang komprehensif yang
mencakup open source dari deteksi untuk menghasilkan metrik dan laporan ke tingkat
eksekutif. AlienVault ditawarkan sebagai produk keamanan yang memungkinkan
untuk mengintegrasikan ke dalam satu konsol dan semua perangkat seperti Suricata,
Openvas, Ntop dan OSSEC [5]. Open Source SIEM (OSSIM) merupakan salah satu
alat security information management yang berbasiskan open source yang di dalamnya
terdiri dari kurang lebih 15 open source security yang menghasilkan kontrol
4
manajemen keamanan pada sebuah jaringan. Pada dasarnya OSSIM ini berupaya
mengintegrasikan beberapa perangkat lunak dan existing tools lainnya untuk
bekerjasama melakukan suatu penyimpanan, melakukan korelasi, dan manajemen
perangkat, sehingga dapat menghasilkan kumpulan event, log, dan informasi kondisi
keamanan jaringan. Dengan adanya beberapa aplikasi yang terhubung dengan OSSIM
maka akan mempermudah dalam mengontrol jaringan karena semua informasi
terhubung secara terpusat di satu halaman web interface. OSSIM terdiri dari 4 elemen
yaitu sensor, manajemen server, database, dan frontend.
Sensor dipakai atau disebarkan pada sebuah jaringan untuk memantau aktivitas-
aktivitas suatu sistem jaringan segala peristiwa atau kejadian. Sensor OSSIM
menganalisis semua lalu lintas jaringan dalam mencari masalah keamanan dan
anomali. Manajemen server atau pada umumnya terdiri dari beberapa komponen yaitu
framework dan OSSIM server. Framework adalah suatu proses yang berjalan di
belakang, yang mengikat bagian-bagian untuk bekerja sama. OSSIM server adalah
pusat dari segala informasi yang diterima dari sensor. Fungsi dari manajemen server
ini adalah sebagai berikut:
• Server utama mempunyai tugas untuk menormalisasi, memberikan prioritas, mengoleksi, melakukan risk assesment, dan mengkorelasi perangkat-perangkat
lainnya.
• Melakukan pemeliharaan dan berbagai tugas eksternal seperti backup data, backup scheduled, inventory secara online, dan melakukan scan.
Database berfungsi untuk melakukan penyimpanan data dari semua kejadian
pada suatu jaringan yang berguna sebagai informasi untuk manajemen sistem.
Database OSSIM menggunakan SQL database. Frontend adalah suatu konsol yang
memberikan visualisasi atau menampilkan semua informasi secara web base system,
semua informasi dari berbagai tools yang ada di OSSIM ditampilkan secara terpusat
pada sebuah halaman web.
Ada dua fungsi dari Open Source SIEM. Fungsi yang pertama adalah deteksi.
Tipe deteksi pada OSSIM terbagi menjadi dua yaitu Pattern Detectors dan Anomali
Detectors. Pattern Detectors adalah program yang berjalan dengan cara mengawasi
aktivitas-ativitas pada sistem jaringan. Prinsip kerjanya yaitu mencari pola-pola dari
log yang menghasilkan suatu kejadian kondisi keamanan. Ketika log tersebut terdapat
suatu ancaman maka dianggap sebagai suatu serangan. OSSIM dapat dikonfigurasi
berdasarkan letak detektor atau sensor pattern detectors, aplikasi yang terpasang yaitu
Suricata sebagai HIDS (network Intrusion Detector System) dan detektor diluar
(external detectors). OSSIM mempunyai suatu koleksi sistem yang mengijinkan data
dikumpulkan dari beberapa peralatan jaringan seperti sistem Windows, Linux, Unix,
firewall, IDS, dan server lainnya. Anomaly Detectors cara kerjanya yaitu mendeteksi
sistem dengan cara mempelajari statistik kebiasaan dari sistem jaringan atau kebiasaan
norma pada jaringan. Saat jaringan beraktivitas tidak seperti biasanya akan dideteksi
sebagai ancaman pada jaringan.
5
Fungsi yang kedua yaitu monitoring yang menghasilkan informasi mengenai
keadaan jaringan yang dapat dipantau oleh administrator jaringan tersebut. Pemantauan
terbagi menjadi dua bagian yaitu pemantauan jaringan dan ketersediaan.
• Pemantauan jaringan adalah proses pemantauan aktivitas sistem jaringan yang meliputi aktivitas yang normal dan tidak normal, lalu lintas jaringan, protokol-
protokol yang dilewati sistem jaringan, dan berbagai aktivitas kondisi jaringan
lainnya.
• Pemantauan ketersediaan adalah proses pemantauan untuk mendapatkan informasi keadaan aktif atau tidak aktifnya peralatan dalam jaringan. Dalam
melakukan pemantauan ini, OSSIM menggunakan tools Nagios yang
mempunyai kemampuan untuk mengecek, menampilkan, dan melaporkan host
yang dalam keadaan mati pada satu jaringan.
OSSIM juga menyediakan satu platform terpadu dengan banyak kemampuan
keamanan penting seperti asset discovery, vulnerability assesment, Intrusion detection,
behavioral monitoring, dan SIEM event correlation. Semua fitur tersebut berhasil
dijalankan dengan baik. Asset discovery berfungsi untuk selalu mengecek aktif
tidaknya suatu aset di jaringan dan mengidentifikasi hubungan antara penggunaannya,
jaringan, dan perangkat. Vulnerability assesment berfungsi menemukan titik-titik
lemah dalam aset dan mengambil tindakan korektif sebelum penyerang
mengeksploitasinya.
Intrusion Detection System (IDS) adalah salah satu metode untuk mengamankan
jaringan yang menghambat semua serangan yang akan mengganggu sebuah jaringan.
IDS pada AlienVault OSSIM mendukung IDS untuk cloud pribadi di lingkungan cloud
AWS dan Azure. Network Intrusion Detection System (NIDS) mendeteksi ancaman
yang diketahui dan pola serangan yang menargetkan aset yang terhubung, dilengkapi
alat deteksi anomali yang memindai lalu lintas jaringan. Behavioral monitoring
mengidentifikasi perilaku mencurigakan dan sistem yang mencurigakan. Behavioral
monitoring menggunakan analisis dari NetFlow untuk monitoring aliran data dan
service availability monitoring untuk melihat ketersediaan layanan. SIEM event
correlation memberikan OSSIM kemampuan untuk menemukan dan menerapkan
asosiasi logis diantara event log mentah individual yang berbeda untuk membuat
keputusan keamanan informasi identifikasi dan tanggap ancaman keamanan.
3. Metode dan Perancangan Tahapan penelitian yang digunakan dalam membuat Perancangan Security
Information and Event Management (SIEM) dengan menggunakan Open Source SIEM
(OSSIM) dapat dilihat pada gambar 1.
6
Gambar 1 Tahapan Penelitian Tahap-tahap penelitian yang ditunjukkan pada gambar 1, akan dijelaskan sebagai
berikut, yang pertama yaitu identifikasi masalah keamanan jaringan dan pemantauan
kondisi server atau host seperti vulnerability yaitu celah keamanan pada jaringan dan
availability yaitu ketersediaan layanan yang disediakan server untuk host. OSSIM
sebagai SIEM diharapkan dapat melindungi jaringan dari serangan dan usaha-usaha
penyusupan oleh pihak yang tidak berhak serta dapat monitoring kondisi server dan
host. Kedua, sistem pendeteksi OSSIM harus mampu mendeteksi berbagai macam
serangan, mencatat semua log, dan menyimpan semua data serangan pada database
untuk keperluan forensik. Ketiga, OSSIM harus secara realtime melakukan
monitoring, mengawasi serta mengirim alert ke administrator ketika ada serangan dan
ketika kondisi server atau host mengalami masalah. Permasalahan jaringan yang
dijumpai yaitu secara default, sehingga administrator harus secara berkala mengawasi
dan mengecek log apakah ada serangan atau tidak dan memeriksa secara manual
kondisi host atau harus memasang software monitoring tambahan untuk melakukan
monitoring server dan host. Hal tersebut akan menjadi masalah jika host diserang diluar
jam kerja sehingga penanganannya akan lambat karena serangan atau masalah terjadi
diluar jam kerja administrator.
Identifikasi Masalah
Perancangan Sistem
Pengujian Sistem
7
Gambar 2. Topologi
Perancangan sistem pada tahap ini akan dilakukan analisis permasalahan dan
kebutuhan dalam perancangan. Perancangan ini dimulai dari pemasangan Operating
System OSSIM pada sebuah server yang sudah terhubung dengan host seperti yang
ditunjukkan pada gambar 2 dan dilanjutkan dengan konfigurasi penambahan aset
kemudian pengaturan service. Selanjutnya konfigurasi mail relay dan policy agar
semua alert dikirim melalui email. OSSIM diharuskan mendeteksi adanya alarm
vulnerability dan availability, sehingga perlu dilakukan konfigurasi policy, agar
OSSIM dapat mengirim peringatan saat terjadi serangan. Tabel 1. Konfigurasi policy
Condition Consequences
Source : alienvault Actions Send email
Even types : taxonomy SIEM : Set event priority : 2,
Sensor : alienvault Risk Assessment : 2,
Reputation : Activity – malicious
host, Priority – 4, reliability – 8, direction
Logical Correlation :yes,
Cross-correlation :yes,
SQL storage :yes
Keterangan pada tabel 1 dijelaskan sebagai berikut, source adalah sumber server
yang akan menjadi sensor dan sebagai aset untuk kondisi kebijakan tujuan. Event types
atau jenis event dikonfigurasi sebagai taxonomy untuk mengumpulkan dan menyusun
alert yang sejenis, reputation adalah seberapa penting prioritas agar dapat memicu
alert OSSIM, actions nama dari aksi yang akan dieksekusi, dan SIEM yaitu
mengaktifkan SIEM dan fiturnya.
OSSIM mempunyai fitur alert melalui email, tetapi secara default fitur tersebut
dimatikan dan harus dikonfigurasi secara manual. OSSIM tidak membutuhkan tools
lain atau plugin tertentu agar dapat mengirim alert melalui email. Berikut adalah
konfigurasi mail server agar OSSIM dapat mengirim alert melalui email. Pada kode
program 1 adalah perintah untuk membuka file ossim_setup.conf yang kemudian akan
dikonfigurasi.
8
Kode program 1. Untuk menampilkan konfigurasi mail server
Kode program 2. Konfigurasi mail server
Pada kode program 2 file konfigurasi mail server, baris 1 adalah email_notify
yaitu adalah alamat email yang akan digunakan untuk mengirim notifikasi, pada baris
2 adalah mailserver_relay, karena menggunakan email gmail maka mail relay harus
menggunakan mail relay dari gmail yaitu smtp.gmail.com, selanjutnya baris ke 3
mailserver_relay_passwd adalah password yang digunakan untuk login email yang
akan digunakan, pada baris 4 adalah mailserver_relay_port untuk outgoing mail SMTP
server menggunakan port 587, selanjutnya baris ke 5 yaitu mailserver_relay_user diisi
dengan email yang digunakan untuk mengirim alert.
Gambar 3. Konfigurasi email
Selanjutnya adalah konfigurasi tindakan untuk mengirim email yang ditunjukkan
pada gambar 3. Berikut ini adalah penjelasan dari gambar 3, condition untuk mengatur
apa yang akan memicu OSSIM untuk mengirim email, from email yang digunakan
sebagai pengirim alert diisi sesuai dengan yang sudah dikonfigurasi pada mail relay
server OSSIM, to adalah alamat email penerima yang akan menerima alert dari
OSSIM, subject adalah subject dari email yang akan dikirim oleh OSSIM, dan yang
terakhir adalah message yaitu isi dari email yang akan dikirim.
1. nano /etc/ossim_setup.conf
1. [email protected] 2. mailserver_relay=smtp.gmail.com 3. mailserver_relay_passwd=hanip123123 4. mailserver_relay_port=587 5. [email protected]
9
Pengujian sistem dilakukan untuk mengetahui apakah OSSIM dapat mendeteksi
serangan, monitoring kondisi host serta mengirim alert melalui email dan membuat
report. Pada gambar 4 termasuk dalam vulnerability scan, yang merupakan salah satu
fitur OSSIM dan berfungsi untuk melakukan pengetesan kerentanan atau vulnerability
ke host yang menjadi klien OSSIM sehingga memicu alert. Job Name adalah nama
dari pengujian yang akan dijalankan. Select Sensor adalah IP sensor dari server
OSSIM. Profile adalah jenis pengetesan yang akan dilakukan. Dengan memilih profile
ultimate – full and fast scan including destructive tests, maka akan dites sekaligus
dilakukan percobaan serangan ke dalam jaringan. Schedule Method adalah jadwal
kapan pengetesan akan dimulai. Pada bagian advanced send an email notification
adalah untuk memberi pilihan apakah hasil pengetesan akan dikirim melalui email atau
tidak.
Gambar 4. Testing vulnerability scan
Untuk pengujian dan memicu alert availability dan keadaan host, host harus
terhubung satu jaringan dengan server OSSIM seperti yang ditunjukkan pada topologi
gambar 2. Host yang sudah terdaftar di dalam asset termasuk server OSSIM, akan
dilakukan monitoring dan OSSIM akan mengirim alert jika host terputus dari jaringan,
Current load atau beban server, dan host terhubung atau terputus.
10
Gambar 5. Kondisi load normal
Pada gambar 5 adalah email alert info dari kondisi localhost yang menunjukkan
bahwa kondisi load localhost normal. Kondisi server sedang tidak digunakan untuk
konfigurasi dan tidak digunakan untuk scan host serta membuka tampilan melalui web
interface OSSIM, alert terpicu saat server pertama kali dihidupkan untuk memberitahu
administrator bahwa kondisi localhost normal. Pengujian akan dilakukan dengan
melakukan konfigurasi melalui terminal OSSIM dan melakukan konfigurasi serta tes
scan melalui web interface OSSIM, yang bertujuan untuk membebani server OSSIM
sehingga memicu alert. Berikut adalah keterangan dari gambar 5, yaitu Notification
type:RECOVERY adalah jenis pemberitahuan yang diterima yaitu recovery atau
pemulihan. Service:current load adalah jenis service yang mengalami masalah yaitu
critical load ,critical load adalah beban kerja yang diterima oleh CPU (Central
Processing Unit). Host:localhost adalah klien yang sedang dipantau kondisi current
load yaitu localhost. State:OK adalah pemberitahuan bahwa tidak ada masalah yang
terjadi, date/time adalah kapan pemberitahuan diterima dan additional info berisi info
tambahan dari kondisi host. Kondisi OK - load average: 1.37, 0.75, 0.30 yang berarti
selama menit terakhir, CPU kelebihan beban sebesar 37%, selama 5 menit terakhir
beban CPU kurang dari 75% atau tidak ada proses yang harus menunggu giliran dan
selama 15 menit terakhir, beban CPU kurang dari 30%.
4. Hasil dan Pembahasan
11
OSSIM berhasil melakukan monitoring server dan host selanjutnya dilakukan
pengujian dengan menggunakan fitur scan di OSSIM dan OSSIM akan melakukan
pengetesan serta melakukan uji coba serangan terhadap host untuk memicu sebuah
alert. Berikut adalah notifikasi email alert hasil dari vulnerability scan, yang memicu
alert adalah berupa serangan web attack dan SQL injection seperti yang ditunjukkan
pada gambar 6. Berikut adalah penjelasan dari gambar 6, Title: ALA11 - AV-FREE-
FEED Web attack, SQL injection attacks detected against 0.0.0.0 (192.168.10.5:0 ->
0.0.0.0:0) adalah judul dari detail kejadian serangan yang terdeksi terhadap IP
192.168.10.5. Status: Open adalah keadaan dari alarm apakah open atau closed, untuk
alarm yang memiliki status sebagai closed maka tidak akan ditampilkan dalam
tampilan daftar alarm. Type: alarm–generic adalah tipe dari email pemberitahuan yaitu
alarm-generic. Priority: 1 (Low) adalah prioritas dari email alarm yang diterima. In
charge: HANIEF EKO ARDIYANTO yaitu nama yang bertanggung jawab sebagai
administrator OSSIM AlienVault dan Created: 2018-07-29 12:06:47 (00:00 ago)
tanggal dan waktu kapan alarm yang telah dibuat.
Gambar 6. Email alert serangan
Pada gambar 7 adalah deskripsi hasil pengujian vulnerability scan yang berhasil
dilakukan dan OSSIM di dalam email alert berisi description yang mendeskripsikan
tentang kejadian atau peristiwa yang terjadi pada host yang dipindai sehingga memicu
alert. Pada gambar 7 terdapat beberapa deskripsi serangan dan berikut adalah
keterangan yang ditunjukkan pada gambar 8, Event Type: AlienVault HIDS-recon
adalah tipe peristiwa yang terjadi dari pendeteksi ancaman yang memicu alert yaitu
host intrusion detection system AlienVault selanjutnya adalah Event description:
AlienVault HIDS: Multiple web server 400 error codes from same source IP yaitu
deskripsi tentang peristiwa yang terjadi dan event apa yang terjadi sehingga memicu
alert, Ocurrences: 79 First Ocurrence: 2018-07-29 04:52:49 Last Ocurrence: 2018-
07-29 05:06:35 adalah waktu kemunculan awal dan berakhirnya peristiwa, Number of
different sources: 1 Number of different destinations: 1 yaitu jumlah sumber serangan
12
atau peristiwa yang terjadi dan Source: 192.168.10.5 dest: 0.0.0.0 adalah alamat IP
sumber dan tujuan. Action yaitu aksi yang diberikan, akan kosong jika tidak ada aksi
yang dilakukan
Event type:AlienVault HIDS-SQL_injection recon adalah tipe peristiwa yang
terjadi yaitu dari pendeteksi ancaman host intrusion detection system AlienVault yang
mendeteksi adanya serangan SQL injection, selanjutnya event description:AlienVault
HIDS:SQL injection attempt adalah deskripsi tentang peristiwa yang terjadi sehingga
memicu alert yaitu percobaan serangan SQL injection. Ocurrences: 6 First Ocurrence:
2018-07-29 05:06:43 Last Ocurrence: 2018-07-29 05:06:47 adalah waktu kemunculan
awal dan berakhirnya peristiwa atau serangan, Number of different sources:1 Number
of different destinations:1 yaitu jumlah sumber serangan atau peristiwa yang terjadi
Source: 192.168.10.5 Dest: 0.0.0.0 adalah alamat IP sumber dan tujuan dan action yaitu
aksi yang diberikan, akan kosong jika tidak ada aksi yang dilakukan.
Event Type: directive_alert adalah tipe peristiwa yang terjadi yaitu dari
pendeteksi ancaman directive_alert selanjutnya event description: directive_event:
AV-FREE-FEED Web attack, SQL injection attacks detected against DST_IP adalah
deskripsi tentang peristiwa yang terjadi sehingga memicu alert yaitu serangan SQL
injection yang terdeteksi menyerang IP tujuan. Ocurrences: 1 First Ocurrence: 2018-
07-29 05:06:47 Last Ocurrence: 2018-07-29 05:06:47 adalah waktu kemunculan awal
dan berakhirnya peristiwa atau serangan. Number of different sources:1 Number of
different destinations: 1 yaitu jumlah sumber serangan atau peristiwa yang terjadi
Source: 192.168.10.5 dest: 0.0.0.0 adalah alamat IP sumber dan tujuan dan action yaitu
aksi yang diberikan, akan kosong jika tidak ada aksi yang dilakukan.
Gambar 7. Email alert vulnerability scan
13
Pada gambar 8, merupakan alert dari kondisi critical load server OSSIM setelah
dilakukan pengujian dengan membebani kerja server OSSIM, alarm terpicu karena
kondisi CPU mengalami kelebihan beban. Pada email peringatan load critical berisi
keterangan notification type: PROBLEM yaitu jenis notifikasi yang diterima dan
notifikasi jenis problem adalah notifikasi yang memperingatkan bahwa telah terjadi
masalah, service adalah jenis service yang mengalami masalah yaitu critical load
,critical load adalah beban kerja yang diterima oleh CPU (Central Processing Unit),
host:localhost adalah klien yang mengalami masalah critical host yaitu localhost,
address:127.0.0.1 adalah alamat IP dari localhost, State:Critical adalah pemberitahuan
jenis problem dan critical yang memberitahukan bahwa kondisi critical load sedang
mengalami masalah kritis dan additional info adalah info tambahan tentang load
average:13.47, 8.57, 3.83 yang artinya selama menit terakhir CPU kelebihan beban
dengan 1247 proses harus menunggu giliran, selama 5 menit terakhir CPU kelebihan
beban dengan 757 proses harus menunggu giliran dan selama 15 menit terakhir CPU
kelebihan beban dengan 283 proses harus menunggu giliran.
Gambar 8. Email alert kondisi current load host
Selanjutnya adalah OSSIM diharapkan dapat membuat report yang dikirim
melalui email seperti yang ditunjukkan pada gambar 9. Berikut adalah penjelasan dari
gambar 9 yaitu, scan time adalah durasi waktu saat dilakukan scan, profile adalah jenis
metode yang dilakukan saat scan yaitu Ultimate – Full and Fast scan including
Destructive mode, dengan mode tersebut berarti telah dilakukan scan secara
menyeluruh dilanjutkan dengan simulasi serangan yang dapat memicu alarm. Diagram
lingkaran adalah diagram yang menunjukkan total dari vulnerability identified yang
terdeteksi, yaitu ada high dan info. High adalah alarm resiko yang mempunyai nilai
tinggi dan beresiko merusak sistem, info adalah alarm yang berhubungan dengan
service seperti kondisi SSH, HTTP, FTP dan lain lain.
14
Gambar 9. Vulnerability scan report
5. Simpulan Berdasarkan penelitian yang berjudul Security Information and Event
Management(SIEM) menggunakan Open Source SIEM (OSSIM), serta dari hasil dan
pembahasan dapat ditarik kesimpulan bahwa dengan menggunakan software OSSIM
sebagai Open Source SIEM dapat melakukan perlindungan keamanan jaringan dan
monitoring jaringan, serta dengan adanya fitur HIDS dan NIDS OSSIM dapat
mendeteksi ancaman kerentanan atau vulnerability, OSSIM dapat mengirim alert
vulnerability dan availability melalui email, OSSIM dapat membuat report dan
mengirim hasil report ke email. Konfigurasi email alert tidak membutuhkan email
server dan plugin tambahan, tetapi untuk memicu alarm atau alert harus dikonfigurasi
policy-nya. Pada penelitian ini tidak terlepas dari kekurangan yang kemungkinan dapat
disempurnakan pada penelitian lain. Ada beberapa saran yang bisa dijadikan sebagai
tambahan seperti menggunakan versi berbayar untuk memanfaatkan fitur lengkap.
15
6. Daftar Pustaka [1] Rihal M., 2010, “Implementasi Analisa Security Information Management
Menggunakan OSSIM pada Sebuah Perusahaan”,
http://lib.ui.ac.id/file?file=digital/20249100-R031079.pdf, Diakses pada 1
Agustus 2018
[2] Suteja Renaldy, B., 2011, “Pengembangan Manajemen Keamanan Sistem dan
Informasi dengan Penerapan Sistem Pendeteksi menggunakan OSSIM
alienvault”.
http://repository.maranatha.edu/2160/1/Pengembangan%20Manajemen%20Kea
manan%20Sistem%20dan%20Informasi%20dengan%20Penerapan%20Sistem
%20Pendeteksi%20Menggunakan%20OSSIM%20Alienvault.pdf. Diakses pada
1 Agustus 2018
[3] A, Bråthen., 2011., “Correlating IDS alerts with System Logs by Means of
network-centric SIEM solution”,
https://brage.bibsys.no/xmlui/bitstream/handle/11250/143982/Andreas%20Br%
C3%A5then.pdf?sequence=1, Diakses pada 1 Agustus 2018
[4] Rizal Mufti., 2011, “RANCANG BANGUN SISTEM PENCEGAHAN
PENYUSUPAN PADA JARINGAN KOMPUTER BERBASIS CYBEROAM”, https://media.neliti.com/media/publications/173986-ID-rancang-bangun-sistem-
pencegahan-penyusu.pdf, Diakses pada 1 Agustus 2018
[5] Ruiz Javier. https://www.alienvault.com/products/ossim. Diakses pada 1
Agustus 2018