Perancangan Security Information and Event Management (SIEM)

Menggunakan Open Source SIEM (OSSIM)

Artikel Ilmiah

Peneliti :

Hanief Eko Ardiyanto (672014103)

Teguh Indra Bayu, S.Kom., M.Cs.

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

2018

Perancangan Security Information and Event Management (SIEM)

Menggunakan Open Source SIEM (OSSIM)

Artikel Ilmiah

Dianjurkan Kepada

Fakultas Teknologi Informasi

Untuk Memperoleh Gelar Sarjana Komputer

Peneliti :

Hanief Eko Ardiyanto (672014103)

Teguh Indra Bayu, S.Kom., M.Cs.

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

2018

1

Perancangan Security Information and Event Management

(SIEM) Menggunakan Open Source SIEM (OSSIM)

1)Hanief Eko Ardiyanto, 2)Teguh Indra Bayu

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Jl. Dr. O. Notohamidjojo, Salatiga 50714, Indonesia

Email : 1)672014103@student.uksw.edu, 2) teguh.bayu@uksw.edu

Abstract

The role of network security is very important, one of which is to monitor network

connections to guard against manipulation and internal and external attacks. A good

network security helps to minimize the risks related to security such as the attacks from

outside or inside in the order to corrupting, manipulation of access rights, and provide

monitoring for the client on one network. With a centralized SIEM as OSSIM, OSSIM

can perform network security protection and monitoring network, send alerts via email,

and OSSIM can make the report and send the results to the email. With the email alert

and report features, are expected to speed up the prevention process and handling if

an attack or problem occurs in the network that requires a fast response.

Keywords : OSSIM, email alert, report

Abstrak

Peran keamanan jaringan sangat penting, salah satunya sebagai monitor koneksi

jaringan untuk menjaga dari penyalahgunaan, serangan dari luar maupun dalam, dan

sebagainya. Keamanan jaringan yang baik membantu meminimalisir risiko-risiko yang

berhubungan dengan keamanan seperti serangan dari luar maupun dalam yang

bertujuan untuk merusak, penyalahgunaan hak akses, dan menyediakan monitoring

untuk kondisi klien pada satu jaringan. Dengan OSSIM sebagai SIEM terpusat,

OSSIM dapat melakukan perlindungan keamanan jaringan dan monitoring jaringan,

mengirim alert melalui email, serta OSSIM dapat membuat report dan mengirim hasil

report ke email. Dengan fitur email alert dan report, diharapkan dapat mempercepat

proses penanggulangan dan penanganan jika terjadi serangan atau masalah di dalam

jaringan yang membutuhkan tanggapan yang cepat.

Kata Kunci : OSSIM, email alert, report

1)Mahasiswa Fakultas Teknologi Informasi Program Studi Teknik Informatika, Universitas Kristen Satya Wacana

Salatiga. 2) Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga

mailto:teguh.bayu@uksw.edu

2

1. Pendahuluan Peran keamanan jaringan sangat penting, salah satunya sebagai monitor koneksi

jaringan untuk menjaga dari penyalahgunaan, serangan dari luar maupun dalam, dan

sebagainya. Keamanan jaringan yang baik membantu meminimalisir risiko-risiko yang

berhubungan dengan keamanan seperti serangan dari luar maupun dalam yang

bertujuan untuk merusak, penyalahgunaan hak akses, dan menyediakan monitoring

untuk kondisi klien pada satu jaringan.

Adapun contoh tools atau software untuk mengamankan jaringan seperti SIEM

(Security Information Event Management) dan IDS Intrusion Detection System IDS

dan SIEM mempunyai fungsi dan kegunaan dan keunggulan masing-masing yang

berguna dalam mengamankan jaringan serta monitoring jaringan dan host yang

terhubung, masing-masing tools tersebut menghasilkan log dan alert yang berguna

untuk administrator jaringan.

Setiap software keamanan jaringan tersebut harus dipasang dalam sebuah server.

Masing-masing software kemananan menghasilkan log dan alert yang terpisah,

sehingga akan memakan waktu untuk melihat setiap log dan alert di dalam tools

kemanan yang berbeda. Untuk mempermudah dalam pengawasan, maka semua alert

dari semua software keamanan dikirim ke email administrator jaringan.

Penelitian ini dilakukan untuk mengetahui bagaimana membuat sistem

manajemen keamanan jaringan SIEM secara terpusat dan membuat report melalui

email yang akan ditampilkan sesuai kebutuhan. Perancangan ini difokuskan dalam

memanfaatkan OSSIM sebagai SIEM tepusat dan alert yang dikirim melalui email

yang akan memudahkan dalam monitoring jaringan karena alert dari semua tools yang

ada di OSSIM akan dikirim melalui satu email dengan laporan yang cukup jelas sesuai

dengan masalah yang terjadi dan diharapkan dapat mempercepat proses

penanggulangan dan penanganan jika terjadi serangan atau masalah di dalam jaringan

yang membutuhkan tanggapan yang cepat.

2. Tinjauan Pustaka Penelitian yang berjudul Implementasi Analisa Security Information

Management Menggunakan OSSIM pada Sebuah Perusahaan membahas implementasi

sistem aplikasi security information management menggunakan OSSIM pada sebuah

perusahaan dengan mengintegrasikan OSSIM dengan perangkat keamanan jaringan

seperti IDS dan firewall untuk memudahkan administrator, serta dilakukan pemantauan

terhadap lalu lintas jaringan TCP, UDP, dan ICMP selama satu pekan. Selanjutnya

melakukan skenario serangan ICMP flooding ke server OSSIM selama beberapa menit

kemudian dianalisis kondisi jaringan pada hari tersebut[1].

Pada penelitian yang berjudul Pengembangan Manajemen Keamanan Sistem

dan Informasi dengan Penerapan Sistem Pendeteksi menggunakan OSSIM AlienVault,

bertujuan untuk mendapatkan kompilasi lengkap dari perangkat lunak yang khusus

untuk penanganan keamanan sistem dan memberikan informasi kepada administrator

jaringan atau keamanan sistem mengenai aspek detail dari setiap host, network, server,

hingga perangkat keras yang terpasang. Informasi yang dihasilkan merupakan

3

kumpulan data spesifik kepada pengguna berdasarkan jaringan atau sensor yang telah

dipasang dan berbeda sesuai dengan kebutuhan dari masing-masing pengguna, serta

dapat dipergunakan sebagai arsenal dari kalangan profesional auditor keamanan

sistem[2].

Pada penelitian berjudul Correlating IDS alerts with System Logs by Means of

network-centric SIEM solution membahas tentang kebutuhan akan security

information and event managemet (SIEM) yang berpusat pada jaringan yang

berkorelasi data berdasarkan topologi jaringan, arus lalu lintas, dan perubahan terus

menerus dalam jaringan tersebut. SIEM bisa menjadi lebih optimal jika digabung

dengan data yang terkumpul dari sistem keamanan jaringan tersebar seperti IDS.

Penelitian mengusulkan model konseptual berdasarkan pendekatan jaringan terpusat

dan melakukan studi kasus dengan menggunakan Cisco NetFlow[3].

Berdasarkan penelitian yang pernah ada terkait Security information and event

management serta perancangan Open Source SIEM (OSSIM) sebagai keamanan

jaringan SIEM, maka akan dilakukan penelitian yang membahas mengenai

perancangan Security Information and Event Management menggunakan Open Source

SIEM (OSSIM). Penelitian difokuskan terhadap perancangan keamanan jaringan

menggunakan OSSIM.

SIEM (Security Information Event Management) istilah Security Information

Event Management (SIEM) pertama kali dikemukakan oleh Mark Nicolett dan Amrit

Williams pada tahun 2005, menggambarkan tentang kemampuan perangkat aplikasi

untuk mengumpulkan, menganalisis, dan menyajikan informasi tentang perangkat

jaringan komputer beserta sistem keamanannya, identifikasi dan manajemen akses

sistem komputer, manajemen celah keamanan sistem komputer dan policy, pencatatan

log sistem operasi, database dan aplikasi, serta menyediakan data analisis ancaman

yang berasal dari luar sistem[4].

SIEM juga merupakan sistem informasi keamanan terpusat yang mengoleksi

informasi dan kejadian atau event security dari jaringan. Semua informasi dan event

diolah dan ditampilkan dalam bentuk laporan, grafik, dan lainnya. Dengan kata lain,

SIEM adalah sistem informasi yang mencakup fungsi agregasi data, korelasi data,

deteksi dan alert, reporting, serta penyimpanan data untuk kebutuhan forensik. SIEM

mempunyai keunggulan untuk menyediakan seluruh informasi terkait dengan

keamanan jaringan komputer secara terpusat dan mengumpulkan data dari semua

peralatan jaringan, dan memiliki kemampuan untuk analisis data sehingga dapat

menghasilkan peringatan dan laporan yang lebih lengkap dari masing-masing

serangan.

Open Source SIEM (OSSIM) adalah sistem keamanan yang komprehensif yang

mencakup open source dari deteksi untuk menghasilkan metrik dan laporan ke tingkat

eksekutif. AlienVault ditawarkan sebagai produk keamanan yang memungkinkan

untuk mengintegrasikan ke dalam satu konsol dan semua perangkat seperti Suricata,

Openvas, Ntop dan OSSEC [5]. Open Source SIEM (OSSIM) merupakan salah satu

alat security information management yang berbasiskan open source yang di dalamnya

terdiri dari kurang lebih 15 open source security yang menghasilkan kontrol

4

manajemen keamanan pada sebuah jaringan. Pada dasarnya OSSIM ini berupaya

mengintegrasikan beberapa perangkat lunak dan existing tools lainnya untuk

bekerjasama melakukan suatu penyimpanan, melakukan korelasi, dan manajemen

perangkat, sehingga dapat menghasilkan kumpulan event, log, dan informasi kondisi

keamanan jaringan. Dengan adanya beberapa aplikasi yang terhubung dengan OSSIM

maka akan mempermudah dalam mengontrol jaringan karena semua informasi

terhubung secara terpusat di satu halaman web interface. OSSIM terdiri dari 4 elemen

yaitu sensor, manajemen server, database, dan frontend.

Sensor dipakai atau disebarkan pada sebuah jaringan untuk memantau aktivitas-

aktivitas suatu sistem jaringan segala peristiwa atau kejadian. Sensor OSSIM

menganalisis semua lalu lintas jaringan dalam mencari masalah keamanan dan

anomali. Manajemen server atau pada umumnya terdiri dari beberapa komponen yaitu

framework dan OSSIM server. Framework adalah suatu proses yang berjalan di

belakang, yang mengikat bagian-bagian untuk bekerja sama. OSSIM server adalah

pusat dari segala informasi yang diterima dari sensor. Fungsi dari manajemen server

ini adalah sebagai berikut:

• Server utama mempunyai tugas untuk menormalisasi, memberikan prioritas, mengoleksi, melakukan risk assesment, dan mengkorelasi perangkat-perangkat

lainnya.

• Melakukan pemeliharaan dan berbagai tugas eksternal seperti backup data, backup scheduled, inventory secara online, dan melakukan scan.

Database berfungsi untuk melakukan penyimpanan data dari semua kejadian

pada suatu jaringan yang berguna sebagai informasi untuk manajemen sistem.

Database OSSIM menggunakan SQL database. Frontend adalah suatu konsol yang

memberikan visualisasi atau menampilkan semua informasi secara web base system,

semua informasi dari berbagai tools yang ada di OSSIM ditampilkan secara terpusat

pada sebuah halaman web.

Ada dua fungsi dari Open Source SIEM. Fungsi yang pertama adalah deteksi.

Tipe deteksi pada OSSIM terbagi menjadi dua yaitu Pattern Detectors dan Anomali

Detectors. Pattern Detectors adalah program yang berjalan dengan cara mengawasi

aktivitas-ativitas pada sistem jaringan. Prinsip kerjanya yaitu mencari pola-pola dari

log yang menghasilkan suatu kejadian kondisi keamanan. Ketika log tersebut terdapat

suatu ancaman maka dianggap sebagai suatu serangan. OSSIM dapat dikonfigurasi

berdasarkan letak detektor atau sensor pattern detectors, aplikasi yang terpasang yaitu

Suricata sebagai HIDS (network Intrusion Detector System) dan detektor diluar

(external detectors). OSSIM mempunyai suatu koleksi sistem yang mengijinkan data

dikumpulkan dari beberapa peralatan jaringan seperti sistem Windows, Linux, Unix,

firewall, IDS, dan server lainnya. Anomaly Detectors cara kerjanya yaitu mendeteksi

sistem dengan cara mempelajari statistik kebiasaan dari sistem jaringan atau kebiasaan

norma pada jaringan. Saat jaringan beraktivitas tidak seperti biasanya akan dideteksi

sebagai ancaman pada jaringan.

5

Fungsi yang kedua yaitu monitoring yang menghasilkan informasi mengenai

keadaan jaringan yang dapat dipantau oleh administrator jaringan tersebut. Pemantauan

terbagi menjadi dua bagian yaitu pemantauan jaringan dan ketersediaan.

• Pemantauan jaringan adalah proses pemantauan aktivitas sistem jaringan yang meliputi aktivitas yang normal dan tidak normal, lalu lintas jaringan, protokol-

protokol yang dilewati sistem jaringan, dan berbagai aktivitas kondisi jaringan

lainnya.

• Pemantauan ketersediaan adalah proses pemantauan untuk mendapatkan informasi keadaan aktif atau tidak aktifnya peralatan dalam jaringan. Dalam

melakukan pemantauan ini, OSSIM menggunakan tools Nagios yang

mempunyai kemampuan untuk mengecek, menampilkan, dan melaporkan host

yang dalam keadaan mati pada satu jaringan.

OSSIM juga menyediakan satu platform terpadu dengan banyak kemampuan

keamanan penting seperti asset discovery, vulnerability assesment, Intrusion detection,

behavioral monitoring, dan SIEM event correlation. Semua fitur tersebut berhasil

dijalankan dengan baik. Asset discovery berfungsi untuk selalu mengecek aktif

tidaknya suatu aset di jaringan dan mengidentifikasi hubungan antara penggunaannya,

jaringan, dan perangkat. Vulnerability assesment berfungsi menemukan titik-titik

lemah dalam aset dan mengambil tindakan korektif sebelum penyerang

mengeksploitasinya.

Intrusion Detection System (IDS) adalah salah satu metode untuk mengamankan

jaringan yang menghambat semua serangan yang akan mengganggu sebuah jaringan.

IDS pada AlienVault OSSIM mendukung IDS untuk cloud pribadi di lingkungan cloud

AWS dan Azure. Network Intrusion Detection System (NIDS) mendeteksi ancaman

yang diketahui dan pola serangan yang menargetkan aset yang terhubung, dilengkapi

alat deteksi anomali yang memindai lalu lintas jaringan. Behavioral monitoring

mengidentifikasi perilaku mencurigakan dan sistem yang mencurigakan. Behavioral

monitoring menggunakan analisis dari NetFlow untuk monitoring aliran data dan

service availability monitoring untuk melihat ketersediaan layanan. SIEM event

correlation memberikan OSSIM kemampuan untuk menemukan dan menerapkan

asosiasi logis diantara event log mentah individual yang berbeda untuk membuat

keputusan keamanan informasi identifikasi dan tanggap ancaman keamanan.

3. Metode dan Perancangan Tahapan penelitian yang digunakan dalam membuat Perancangan Security

Information and Event Management (SIEM) dengan menggunakan Open Source SIEM

(OSSIM) dapat dilihat pada gambar 1.

6

Gambar 1 Tahapan Penelitian Tahap-tahap penelitian yang ditunjukkan pada gambar 1, akan dijelaskan sebagai

berikut, yang pertama yaitu identifikasi masalah keamanan jaringan dan pemantauan

kondisi server atau host seperti vulnerability yaitu celah keamanan pada jaringan dan

availability yaitu ketersediaan layanan yang disediakan server untuk host. OSSIM

sebagai SIEM diharapkan dapat melindungi jaringan dari serangan dan usaha-usaha

penyusupan oleh pihak yang tidak berhak serta dapat monitoring kondisi server dan

host. Kedua, sistem pendeteksi OSSIM harus mampu mendeteksi berbagai macam

serangan, mencatat semua log, dan menyimpan semua data serangan pada database

untuk keperluan forensik. Ketiga, OSSIM harus secara realtime melakukan

monitoring, mengawasi serta mengirim alert ke administrator ketika ada serangan dan

ketika kondisi server atau host mengalami masalah. Permasalahan jaringan yang

dijumpai yaitu secara default, sehingga administrator harus secara berkala mengawasi

dan mengecek log apakah ada serangan atau tidak dan memeriksa secara manual

kondisi host atau harus memasang software monitoring tambahan untuk melakukan

monitoring server dan host. Hal tersebut akan menjadi masalah jika host diserang diluar

jam kerja sehingga penanganannya akan lambat karena serangan atau masalah terjadi

diluar jam kerja administrator.

Identifikasi Masalah

Perancangan Sistem

Pengujian Sistem

7

Gambar 2. Topologi

Perancangan sistem pada tahap ini akan dilakukan analisis permasalahan dan

kebutuhan dalam perancangan. Perancangan ini dimulai dari pemasangan Operating

System OSSIM pada sebuah server yang sudah terhubung dengan host seperti yang

ditunjukkan pada gambar 2 dan dilanjutkan dengan konfigurasi penambahan aset

kemudian pengaturan service. Selanjutnya konfigurasi mail relay dan policy agar

semua alert dikirim melalui email. OSSIM diharuskan mendeteksi adanya alarm

vulnerability dan availability, sehingga perlu dilakukan konfigurasi policy, agar

OSSIM dapat mengirim peringatan saat terjadi serangan. Tabel 1. Konfigurasi policy

Condition Consequences

Source : alienvault Actions Send email

Even types : taxonomy SIEM : Set event priority : 2,

Sensor : alienvault Risk Assessment : 2,

Reputation : Activity – malicious

host, Priority – 4, reliability – 8, direction

Logical Correlation :yes,

Cross-correlation :yes,

SQL storage :yes

Keterangan pada tabel 1 dijelaskan sebagai berikut, source adalah sumber server

yang akan menjadi sensor dan sebagai aset untuk kondisi kebijakan tujuan. Event types

atau jenis event dikonfigurasi sebagai taxonomy untuk mengumpulkan dan menyusun

alert yang sejenis, reputation adalah seberapa penting prioritas agar dapat memicu

alert OSSIM, actions nama dari aksi yang akan dieksekusi, dan SIEM yaitu

mengaktifkan SIEM dan fiturnya.

OSSIM mempunyai fitur alert melalui email, tetapi secara default fitur tersebut

dimatikan dan harus dikonfigurasi secara manual. OSSIM tidak membutuhkan tools

lain atau plugin tertentu agar dapat mengirim alert melalui email. Berikut adalah

konfigurasi mail server agar OSSIM dapat mengirim alert melalui email. Pada kode

program 1 adalah perintah untuk membuka file ossim_setup.conf yang kemudian akan

dikonfigurasi.

8

Kode program 1. Untuk menampilkan konfigurasi mail server

Kode program 2. Konfigurasi mail server

Pada kode program 2 file konfigurasi mail server, baris 1 adalah email_notify

yaitu adalah alamat email yang akan digunakan untuk mengirim notifikasi, pada baris

2 adalah mailserver_relay, karena menggunakan email gmail maka mail relay harus

menggunakan mail relay dari gmail yaitu smtp.gmail.com, selanjutnya baris ke 3

mailserver_relay_passwd adalah password yang digunakan untuk login email yang

akan digunakan, pada baris 4 adalah mailserver_relay_port untuk outgoing mail SMTP

server menggunakan port 587, selanjutnya baris ke 5 yaitu mailserver_relay_user diisi

dengan email yang digunakan untuk mengirim alert.

Gambar 3. Konfigurasi email

Selanjutnya adalah konfigurasi tindakan untuk mengirim email yang ditunjukkan

pada gambar 3. Berikut ini adalah penjelasan dari gambar 3, condition untuk mengatur

apa yang akan memicu OSSIM untuk mengirim email, from email yang digunakan

sebagai pengirim alert diisi sesuai dengan yang sudah dikonfigurasi pada mail relay

server OSSIM, to adalah alamat email penerima yang akan menerima alert dari

OSSIM, subject adalah subject dari email yang akan dikirim oleh OSSIM, dan yang

terakhir adalah message yaitu isi dari email yang akan dikirim.

1. nano /etc/ossim_setup.conf

1. email_notify=672014103@gmail.com 2. mailserver_relay=smtp.gmail.com 3. mailserver_relay_passwd=hanip123123 4. mailserver_relay_port=587 5. mailserver_relay_user=672014103@student.uksw.edu

9

Pengujian sistem dilakukan untuk mengetahui apakah OSSIM dapat mendeteksi

serangan, monitoring kondisi host serta mengirim alert melalui email dan membuat

report. Pada gambar 4 termasuk dalam vulnerability scan, yang merupakan salah satu

fitur OSSIM dan berfungsi untuk melakukan pengetesan kerentanan atau vulnerability

ke host yang menjadi klien OSSIM sehingga memicu alert. Job Name adalah nama

dari pengujian yang akan dijalankan. Select Sensor adalah IP sensor dari server

OSSIM. Profile adalah jenis pengetesan yang akan dilakukan. Dengan memilih profile

ultimate – full and fast scan including destructive tests, maka akan dites sekaligus

dilakukan percobaan serangan ke dalam jaringan. Schedule Method adalah jadwal

kapan pengetesan akan dimulai. Pada bagian advanced send an email notification

adalah untuk memberi pilihan apakah hasil pengetesan akan dikirim melalui email atau

tidak.

Gambar 4. Testing vulnerability scan

Untuk pengujian dan memicu alert availability dan keadaan host, host harus

terhubung satu jaringan dengan server OSSIM seperti yang ditunjukkan pada topologi

gambar 2. Host yang sudah terdaftar di dalam asset termasuk server OSSIM, akan

dilakukan monitoring dan OSSIM akan mengirim alert jika host terputus dari jaringan,

Current load atau beban server, dan host terhubung atau terputus.

10

Gambar 5. Kondisi load normal

Pada gambar 5 adalah email alert info dari kondisi localhost yang menunjukkan

bahwa kondisi load localhost normal. Kondisi server sedang tidak digunakan untuk

konfigurasi dan tidak digunakan untuk scan host serta membuka tampilan melalui web

interface OSSIM, alert terpicu saat server pertama kali dihidupkan untuk memberitahu

administrator bahwa kondisi localhost normal. Pengujian akan dilakukan dengan

melakukan konfigurasi melalui terminal OSSIM dan melakukan konfigurasi serta tes

scan melalui web interface OSSIM, yang bertujuan untuk membebani server OSSIM

sehingga memicu alert. Berikut adalah keterangan dari gambar 5, yaitu Notification

type:RECOVERY adalah jenis pemberitahuan yang diterima yaitu recovery atau

pemulihan. Service:current load adalah jenis service yang mengalami masalah yaitu

critical load ,critical load adalah beban kerja yang diterima oleh CPU (Central

Processing Unit). Host:localhost adalah klien yang sedang dipantau kondisi current

load yaitu localhost. State:OK adalah pemberitahuan bahwa tidak ada masalah yang

terjadi, date/time adalah kapan pemberitahuan diterima dan additional info berisi info

tambahan dari kondisi host. Kondisi OK - load average: 1.37, 0.75, 0.30 yang berarti

selama menit terakhir, CPU kelebihan beban sebesar 37%, selama 5 menit terakhir

beban CPU kurang dari 75% atau tidak ada proses yang harus menunggu giliran dan

selama 15 menit terakhir, beban CPU kurang dari 30%.

4. Hasil dan Pembahasan

11

OSSIM berhasil melakukan monitoring server dan host selanjutnya dilakukan

pengujian dengan menggunakan fitur scan di OSSIM dan OSSIM akan melakukan

pengetesan serta melakukan uji coba serangan terhadap host untuk memicu sebuah

alert. Berikut adalah notifikasi email alert hasil dari vulnerability scan, yang memicu

alert adalah berupa serangan web attack dan SQL injection seperti yang ditunjukkan

pada gambar 6. Berikut adalah penjelasan dari gambar 6, Title: ALA11 - AV-FREE-

FEED Web attack, SQL injection attacks detected against 0.0.0.0 (192.168.10.5:0 ->

0.0.0.0:0) adalah judul dari detail kejadian serangan yang terdeksi terhadap IP

192.168.10.5. Status: Open adalah keadaan dari alarm apakah open atau closed, untuk

alarm yang memiliki status sebagai closed maka tidak akan ditampilkan dalam

tampilan daftar alarm. Type: alarm–generic adalah tipe dari email pemberitahuan yaitu

alarm-generic. Priority: 1 (Low) adalah prioritas dari email alarm yang diterima. In

charge: HANIEF EKO ARDIYANTO yaitu nama yang bertanggung jawab sebagai

administrator OSSIM AlienVault dan Created: 2018-07-29 12:06:47 (00:00 ago)

tanggal dan waktu kapan alarm yang telah dibuat.

Gambar 6. Email alert serangan

Pada gambar 7 adalah deskripsi hasil pengujian vulnerability scan yang berhasil

dilakukan dan OSSIM di dalam email alert berisi description yang mendeskripsikan

tentang kejadian atau peristiwa yang terjadi pada host yang dipindai sehingga memicu

alert. Pada gambar 7 terdapat beberapa deskripsi serangan dan berikut adalah

keterangan yang ditunjukkan pada gambar 8, Event Type: AlienVault HIDS-recon

adalah tipe peristiwa yang terjadi dari pendeteksi ancaman yang memicu alert yaitu

host intrusion detection system AlienVault selanjutnya adalah Event description:

AlienVault HIDS: Multiple web server 400 error codes from same source IP yaitu

deskripsi tentang peristiwa yang terjadi dan event apa yang terjadi sehingga memicu

alert, Ocurrences: 79 First Ocurrence: 2018-07-29 04:52:49 Last Ocurrence: 2018-

07-29 05:06:35 adalah waktu kemunculan awal dan berakhirnya peristiwa, Number of

different sources: 1 Number of different destinations: 1 yaitu jumlah sumber serangan

12

atau peristiwa yang terjadi dan Source: 192.168.10.5 dest: 0.0.0.0 adalah alamat IP

sumber dan tujuan. Action yaitu aksi yang diberikan, akan kosong jika tidak ada aksi

yang dilakukan

Event type:AlienVault HIDS-SQL_injection recon adalah tipe peristiwa yang

terjadi yaitu dari pendeteksi ancaman host intrusion detection system AlienVault yang

mendeteksi adanya serangan SQL injection, selanjutnya event description:AlienVault

HIDS:SQL injection attempt adalah deskripsi tentang peristiwa yang terjadi sehingga

memicu alert yaitu percobaan serangan SQL injection. Ocurrences: 6 First Ocurrence:

2018-07-29 05:06:43 Last Ocurrence: 2018-07-29 05:06:47 adalah waktu kemunculan

awal dan berakhirnya peristiwa atau serangan, Number of different sources:1 Number

of different destinations:1 yaitu jumlah sumber serangan atau peristiwa yang terjadi

Source: 192.168.10.5 Dest: 0.0.0.0 adalah alamat IP sumber dan tujuan dan action yaitu

aksi yang diberikan, akan kosong jika tidak ada aksi yang dilakukan.

Event Type: directive_alert adalah tipe peristiwa yang terjadi yaitu dari

pendeteksi ancaman directive_alert selanjutnya event description: directive_event:

AV-FREE-FEED Web attack, SQL injection attacks detected against DST_IP adalah

deskripsi tentang peristiwa yang terjadi sehingga memicu alert yaitu serangan SQL

injection yang terdeteksi menyerang IP tujuan. Ocurrences: 1 First Ocurrence: 2018-

07-29 05:06:47 Last Ocurrence: 2018-07-29 05:06:47 adalah waktu kemunculan awal

dan berakhirnya peristiwa atau serangan. Number of different sources:1 Number of

different destinations: 1 yaitu jumlah sumber serangan atau peristiwa yang terjadi

Source: 192.168.10.5 dest: 0.0.0.0 adalah alamat IP sumber dan tujuan dan action yaitu

aksi yang diberikan, akan kosong jika tidak ada aksi yang dilakukan.

Gambar 7. Email alert vulnerability scan

13

Pada gambar 8, merupakan alert dari kondisi critical load server OSSIM setelah

dilakukan pengujian dengan membebani kerja server OSSIM, alarm terpicu karena

kondisi CPU mengalami kelebihan beban. Pada email peringatan load critical berisi

keterangan notification type: PROBLEM yaitu jenis notifikasi yang diterima dan

notifikasi jenis problem adalah notifikasi yang memperingatkan bahwa telah terjadi

masalah, service adalah jenis service yang mengalami masalah yaitu critical load

,critical load adalah beban kerja yang diterima oleh CPU (Central Processing Unit),

host:localhost adalah klien yang mengalami masalah critical host yaitu localhost,

address:127.0.0.1 adalah alamat IP dari localhost, State:Critical adalah pemberitahuan

jenis problem dan critical yang memberitahukan bahwa kondisi critical load sedang

mengalami masalah kritis dan additional info adalah info tambahan tentang load

average:13.47, 8.57, 3.83 yang artinya selama menit terakhir CPU kelebihan beban

dengan 1247 proses harus menunggu giliran, selama 5 menit terakhir CPU kelebihan

beban dengan 757 proses harus menunggu giliran dan selama 15 menit terakhir CPU

kelebihan beban dengan 283 proses harus menunggu giliran.

Gambar 8. Email alert kondisi current load host

Selanjutnya adalah OSSIM diharapkan dapat membuat report yang dikirim

melalui email seperti yang ditunjukkan pada gambar 9. Berikut adalah penjelasan dari

gambar 9 yaitu, scan time adalah durasi waktu saat dilakukan scan, profile adalah jenis

metode yang dilakukan saat scan yaitu Ultimate – Full and Fast scan including

Destructive mode, dengan mode tersebut berarti telah dilakukan scan secara

menyeluruh dilanjutkan dengan simulasi serangan yang dapat memicu alarm. Diagram

lingkaran adalah diagram yang menunjukkan total dari vulnerability identified yang

terdeteksi, yaitu ada high dan info. High adalah alarm resiko yang mempunyai nilai

tinggi dan beresiko merusak sistem, info adalah alarm yang berhubungan dengan

service seperti kondisi SSH, HTTP, FTP dan lain lain.

14

Gambar 9. Vulnerability scan report

5. Simpulan Berdasarkan penelitian yang berjudul Security Information and Event

Management(SIEM) menggunakan Open Source SIEM (OSSIM), serta dari hasil dan

pembahasan dapat ditarik kesimpulan bahwa dengan menggunakan software OSSIM

sebagai Open Source SIEM dapat melakukan perlindungan keamanan jaringan dan

monitoring jaringan, serta dengan adanya fitur HIDS dan NIDS OSSIM dapat

mendeteksi ancaman kerentanan atau vulnerability, OSSIM dapat mengirim alert

vulnerability dan availability melalui email, OSSIM dapat membuat report dan

mengirim hasil report ke email. Konfigurasi email alert tidak membutuhkan email

server dan plugin tambahan, tetapi untuk memicu alarm atau alert harus dikonfigurasi

policy-nya. Pada penelitian ini tidak terlepas dari kekurangan yang kemungkinan dapat

disempurnakan pada penelitian lain. Ada beberapa saran yang bisa dijadikan sebagai

tambahan seperti menggunakan versi berbayar untuk memanfaatkan fitur lengkap.

15

6. Daftar Pustaka [1] Rihal M., 2010, “Implementasi Analisa Security Information Management

Menggunakan OSSIM pada Sebuah Perusahaan”,

http://lib.ui.ac.id/file?file=digital/20249100-R031079.pdf, Diakses pada 1

Agustus 2018

[2] Suteja Renaldy, B., 2011, “Pengembangan Manajemen Keamanan Sistem dan

Informasi dengan Penerapan Sistem Pendeteksi menggunakan OSSIM

alienvault”.

http://repository.maranatha.edu/2160/1/Pengembangan%20Manajemen%20Kea

manan%20Sistem%20dan%20Informasi%20dengan%20Penerapan%20Sistem

%20Pendeteksi%20Menggunakan%20OSSIM%20Alienvault.pdf. Diakses pada

1 Agustus 2018

[3] A, Bråthen., 2011., “Correlating IDS alerts with System Logs by Means of

network-centric SIEM solution”,

https://brage.bibsys.no/xmlui/bitstream/handle/11250/143982/Andreas%20Br%

C3%A5then.pdf?sequence=1, Diakses pada 1 Agustus 2018

[4] Rizal Mufti., 2011, “RANCANG BANGUN SISTEM PENCEGAHAN

PENYUSUPAN PADA JARINGAN KOMPUTER BERBASIS CYBEROAM”, https://media.neliti.com/media/publications/173986-ID-rancang-bangun-sistem-

pencegahan-penyusu.pdf, Diakses pada 1 Agustus 2018

[5] Ruiz Javier. https://www.alienvault.com/products/ossim. Diakses pada 1

Agustus 2018