Cyber Security: SIEM Open Source 1

From OnnoWiki
Jump to navigation Jump to search

Bayu SangkayaBayu Sangkaya 

• Ke-2 • Ke-2

Senior Information Security Engineer | Cybersecurity Learner, Practitioner, and Trainer | CCNA | ECIH | CEHSenior Information Security Engineer | Cybersecurity Learner, Practitioner, and Trainer | CCNA | ECIH | CEH 5hr • 5 hari yang lalu

Terhubung Terhubung dengan Bayu Sangkaya Selama 2 bulan belakangan ini saya membantu satu instansi pemerintah untuk mengimplementasikan Cybersecurity Platform berbasis aplikasi open source. Platform ini mengolah log dan security event dari berbagai sumber, ada dari server berbasis Windows dan Linux, dari WAF, juga dari Firewall. Sehingga event dan korelasinya bisa terlihat sepenuhnya.

Selain itu dalam Platform ini juga menggunakan otomasi via SOAR. Sehingga jika ada event dengan true positif mendeteksi adanya IoC, bisa dilakukan pemblokiran langsung di Firewall dan juga membuat case di platform DFIR. Semua komponen dalam platform ini menggunakan aplikasi open source, sehingga tidak ada biaya langganan lisensi yang harus dikeluarkan namun tetap mendapatkan korelasi full untuk semua event.

Sebelumnya, instansi ini berlangganan SIEM berbayar senilai 10M per tahun. Namun tidak bisa mendapatkan korelasi full karena ingestion terbatas hanya 100GB per hari. Sementara log dari firewall saja sudah 60 s.d 70 GB per hari, belum dari WAF dan server. Setelah saya bantu implementasi, ingestion menjadi tergantung resource yang dimiliki, dan kebetulan memang memiliki resource yang cukup besar, jadi tidak ada masalah untuk ingestion.

Aplikasi yang saya implementasikan adalah sebagai berikut:

  1. Wazuh sebagai log collector dan analysis untuk semua event dari endpoint yang bisa di-install wazuh agent. https://wazuh.com/
  2. Graylog dan opensearch berperan untuk melakukan log ingestion untuk endpoint yang tidak bisa di-install wazuh agent. https://graylog.org/
  3. Grafana sebagai pusat korelasi untuk event dari Wazuh maupun Graylog. https://grafana.com/
  4. Shuffle SOAR menjadi otak otomasi pemblokiran attacker dan pembuatan case. https://lnkd.in/gSX-zntk
  5. IRIS menjadi tempat penampungan case dan ticketing true positif untuk dilakukan analisa dan tindakan lebih lanjut. https://dfir-iris.org/
  6. MISP dan OpenCTI sebagai sumber data IoC dan informasi event terkait IoC.

Dengan platform ini, instansi tersebut bisa menghemat 10M per tahun dan mengoptimalkan korelasi log dari berbagai sumber. Dan semua bisa dikerjakan secara remote di luar office hour, jadi jarak dan waktu tidak menjadi masalah.

Rencananya saya akan membuka course tentang otomasi ini dalam waktu dekat, sehingga yang membutuhkan dan ingin mencoba mengelola sendiri, mendapatkan gambaran dan arah implementasi yang optimal. Namun jika ingin saya bantu, silakan menghubungi saya via message.

Mungkin platform ini memang belum sempurna dan masih ada kekurangan, namun bisa membantu dalam pengelolaan cybersecurity di dalam organisasi. Sehingga profil cybersecurity dalam organisasi bisa meningkat.

Retrieved from "https://onnocenter.or.id/wiki/index.php?title=Cyber_Security:_SIEM_Open_Source_1&oldid=71301"