67
68
Konfigurasi Bahasa
Pemilihan Bahasa yang akan dipakai pada proses installasi OSSIM.
Konfigurasi Negara
Pemilihan Negara
Konfigurasi Keymap
Pemilihan Keymap untuk keyboard Laybout
Name server yang digunakan . Masukkan Name server yang digunakan dan
klik “Continue”.
73
Partisi disk
atas.
Policy juga mendefinisikan apa fitur dari SIEM dan Logger akan
diaktifkan untuk memproses peristiwa yang cocok dengan aturan
kebijakan .Aturan Policy diterapkan di Urutan menurun dan ketika
ada event yang sesuai dengan Policy, sistem akan berhenti
memproses Event itu .
Membuat Actions
Halaman Actions memungkinkan pengguna untuk menentukan respon
terhadap serangan atau masalah yang terjadi dalam jaringan. Tindakan
terkait dengan aturan policy, sehingga ketika policy cocok semua
actions yang terkait dengan policy yang dijalankan.
Prioritas direktif. Prioritas akan menjadi nilai numerik dari 0 hingga 5. Semua
peristiwa yang dihasilkan dalam direktif yang sama akan memiliki direktif yang
sama tetapi mereka mungkin memiliki keandalan yang berbeda karena akan
tergantung pada tingkat korelasi pada saat event dihasilkan
90
Jika mengatur prioritas ke 0, peristiwa yang dihasilkan dalam directive ini tidak akan
pernah menjadi alarm. Jika Anda menetapkan nilai prioritas tinggi, direktif dapat
menghasilkan alarm setelah pengelompokan beberapa event.
Setiap kali kondisi yang ditetapkan oleh Directive rule cocok , event baru akan
menghasilkan nilai realibility value baru , event ini akan memiliki nilai prioritas yang
sebelumnya telah ditetapkan pada correlation directives, nilai reliabilitas
didefinisikan sendiri dalam aturan korelasi,dan nilai asset host didapat dari nilai yang
telah didefinisikan sebelumnya.
4.3 Pengujian
OSSIM yang telah diinstall memiliki banyak fitur-fitur dalam
melakukan monitoring terhadap jaringan. Namun keseluruhan fitur tersebut
tidak kami jabarkan sepenuhnya dan hanya fokus kepada beberapa prosedur
yaitu monitoring SIEM melalui modul OSSEC pengiriman notifikasi dan
pengiriman notifikasi lewat email.
Risk =1
Pada saat terjadi serangan maka saat terdeteksi oleh sensor yang ada
maka akan di cek apakah sesuai dengan policy yang diatur dan action apa
yang akan di berjalan, pada saat itu semua notifikasi alarm akan muncul dan
dapat di lihat pada bagian incidents => alarm
kolum isi
Alarm Nama Alarm : Nama alarm sesuai dengan nama peristiwa
yang menghasilkan alarm.
Risk Nilai resiko mulai dari 0 sampai dengan 10.
Sensor Sensor yang menggumpulkan peristiwa yang menghasilkan
alarm.
First Event Waktu peristiwa pertama yang diterima sensor alarm.
Last Event Waktu peristiwa terkahir yang diterima sensor alarm.
Source Sumber IP address yang menghasilkan alarm .
Destination Tujuan IP address yang menghasilkan alarm.
Status Status dari alarm closed or Open.
Tabel 4.1 Penjelasan isi alarm
Dari status alarm yang terjadi bisa dengan manual membuat ticket.
Tiket baru dapat dibuka dari konsol Alarm (Insiden → Alarm), dari
Metrik Risiko panel (Dashboard → Risiko (Risk Metrik)) dan dari panel
anomali (Analysis → SIEM (Anomali)). Informasi yang secara otomatis akan
ditambahkan ke tiket baru ketika diakses dari panel ini.
94
Waktu dan tanggal pada e-mail menunjukkan waktu dan tanggal saat OSSIM
mengitimkan notifikasi, yaitu saat terjadinya serangan pada server.Apabila terjadi
delay pengiriman akibat gangguan SMTP dari ISP , tidak berpengaruh terhadap
waktu dan tanggal pengiriman notifikasi oleh OSSIM . Waktu dan Tanggal sesuai
dengan saat pengiriman meskipun diterima pada waktu yang berbeda .
Pada email notifikasi terdapat informasi mengenai kejadian apa yang terjadi pada
host . E-mail dapat dibuka pada telepon genggam atau laptop yang dapat diterima
kapan saja dimana saja oleh network administrator tanpa harus selalu berada di
depan komputer.
96
4.4 Evaluasi
Pada tanggal 9 januari 2014 dan 12 januari 2014 dilakukan pengujian terhadap
OSSIM pada PT.Metalogix Infolink Persada.Hasil yang diperoleh dari implementasi
tersebut adalah :
1. OSSIM dapat menotifikasi Network Administrator tentang adanya alarm
tentang apa yang terjadi pada server melalui E-mail.
2. OSSIM dapat bekerja selama 24 jam untuk memonitoring server
3. OSSIM dapat melakukan perhitungan resiko untuk menentukan event mana
yang penting untuk di notifikasi kepada Network Adminsitrator dalam bentuk
E-mail.