Security Data
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
27.1 Platform Data Umum
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Platform Data Umum
ELK
Security Onion meliputi Elastic Stack yang terdiri dari Elasticsearch, Logstash, dan Kibana (ELK).
Komponen Inti ELK:
• Elasticsearch: Open-core platform untuk
mencari dan menganalisis data organisasi
hampir secara real-time.
• Logstash: Memungkinkan pengumpulan
dan normalisasi data jaringan menjadi
indeks data yang dapat dicari secara efisien
oleh Elasticsearch.
• Kibana: Menyediakan antarmuka grafis ke
data yang dikompilasi oleh Elasticsearch.
• Beats: Rangkaian plugin perangkat lunak
yang mengirimkan berbagai jenis data ke
penyimpanan data Elasticsearch.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Platform Data Umum
Pengurangan Data (Data Reduction)
• Untuk mengurangi data, penting untuk
mengidentifikasi data jaringan yang harus
dikumpulkan dan disimpan untuk
mengurangi beban sistem.
• Dengan membatasi volume data, tool seperti
Elasticsearch akan jauh lebih berguna.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Platform Data Umum
Normalisasi Data
• Normalisasi data adalah proses menggabungkan data dari sejumlah sumber ke dalam
format umum.
• Skema umum akan menentukan nama dan format untuk bidang data yang diperlukan.
• Misalnya, alamat IPv6, alamat MAC, serta tanggal dan waktu dapat direpresentasikan
dalam berbagai format:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Platform Data Umum
Pengarsipan Data
• Mempertahankan data Network Security Monitoring (NSM) tanpa batas waktu, tidak dapat
dilakukan karena masalah penyimpanan dan akses.
• Periode penyimpanan untuk jenis informasi keamanan jaringan tertentu dapat ditentukan oleh
kerangka kerja kepatuhan.
• Data peringatan Sguil disimpan selama 30 hari secara default. Nilai ini ditetapkan di file
konfigurasi securityonion.conf.
• Data Security Onion selalu dapat diarsipkan ke penyimpanan eksternal oleh sistem arsip
data, tergantung pada kebutuhan dan kemampuan organisasi.
Catatan: Lokasi penyimpanan untuk berbagai jenis data Security Onion akan bervariasi
berdasarkan implementasi Security Onion.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Platform Data Umum
Lab – Mengkonversi Data Menjadi Format Universal
Di lab ini, Anda akan menyelesaikan tujuan berikut:
• Bagian 1: Gunakan command line tools untuk menormalkan entri log secara manual.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
27.2 Menyelidiki Data
Jaringan
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Menyelidiki Data Jaringan
Bekerja di Sguil
• Di Security Onion, tempat
pertama yang akan dituju oleh
analis keamanan siber untuk
memverifikasi peringatan
adalah Sguil.
• Sguil secara otomatis
menghubungkan peringatan
serupa ke dalam satu baris
dan menyediakan cara untuk
melihat peristiwa terkait yang
diwakili oleh baris itu.
• Untuk memahami apa yang
terjadi di jaringan, sebaiknya
mengurutkan kolom CNT Sguil Alerts Diurutkan di CNT
untuk menampilkan peringatan
dengan frekuensi tertinggi. © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Menyelidiki Data Jaringan
Query Sguil
• Query dapat dibuat di Sguil
menggunakan Query Builder.
Tool ini menyederhanakan
pembuatan query ke tingkat
tertentu.
• Analis keamanan siber harus
mengetahui nama field dan
beberapa masalah dengan nilai
field untuk membuat query di
Sguil secara efektif.
• Misalnya, Sguil menyimpan
alamat IP dalam representasi
integer.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Menyelidiki Data Jaringan
Pivoting dari Sguil
• Sguil memberikan kemampuan
bagi analis keamanan siber untuk
beralih ke sumber dan tools
informasi lain.
• File log tersedia di Elasticsearch.
• Tangkapan paket yang relevan
dapat ditampilkan di Wireshark.
• Sguil dapat menyediakan pivot ke
Passive Real-time Asset Detection
System (PRADS) dan informasi
Security Analyst Network
Connection Profiler (SANCP).
Catatan: Query Elasticsearch tingkat lanjut berada di luar cakupan kursus ini. Di lab, Anda
akan diberikan pernyataan query yang kompleks, jika perlu.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Menyelidiki Data Jaringan
Proses Investigasi atau Panggilan API
• Aplikasi berinteraksi dengan Sistem Operasi (OS)
melalui panggilan sistem ke OS Application
Programming Interface (API).
• Jika malware dapat mengelabui kernel OS agar
mengizinkannya melakukan panggilan sistem,
banyak eksploitasi yang mungkin dilakukan.
• Aturan OSSEC mendeteksi perubahan dalam
parameter berbasis host.
• Aturan OSSEC akan memicu peringatan di Sguil.
• Pivoting ke Kibana pada alamat IP host
memungkinkan Anda memilih jenis peringatan
berdasarkan program yang membuatnya.
• Memfilter indeks OSSEC menghasilkan tampilan peristiwa OSSEC yang terjadi
pada host, termasuk indikator bahwa malware mungkin telah berinteraksi dengan
kernel OS
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Menyelidiki Data Jaringan
Menyelidiki Detail File
• Di Sguil, jika analis keamanan
siber mencurigai suatu file,
nilai hash dapat dikirimkan ke
situs online untuk menentukan
apakah file tersebut adalah
malware yang diketahui.
• Di Kibana, Zeek Hunting
dapat digunakan untuk
menampilkan informasi
mengenai file yang telah
memasuki jaringan.
• Perhatikan bahwa di Kibana,
jenis event ditampilkan
sebagai bro_files, padahal
nama baru Bro adalah Zeek.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Menyelidiki Data Jaringan
Lab - Tutorial Ekspresi Reguler
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Menyelidiki Data Jaringan
Lab - Ekstrak Executable dari PCAP
Melihat log sangat penting, tetapi juga penting untuk memahami bagaimana transaksi
jaringan terjadi di tingkat paket.
Di lab ini, Anda akan menyelesaikan tujuan berikut:
• Menganalisis lalu lintas yang ditangkap sebelumnya pcap file dan ekstrak file yang dapat
dieksekusi dari lalu lintas.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Menyelidiki Data Jaringan
Video - Menafsirkan Data HTTP dan DNS untuk Mengisolasi
Threat Actor
Tonton video untuk melihat panduan dari lab Security Onion menafsirkan HTTP dan data
DNS ke Threat Actor yang terisolasi.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Menyelidiki Data Jaringan
Lab - Menafsirkan Data HTTP dan DNS untuk Mengisolasi
Threat Actor
Di lab ini, Anda akan menyelesaikan tujuan berikut:
• Selidiki injeksi SQL dan eksploitasi eksfiltrasi DNS menggunakan tools Security Onion.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Menyelidiki Data Jaringan
Video - Isolasi Host yang Disusupi Menggunakan 5-Tuple
Tonton video untuk melihat panduan dari lab Security Onion Isolate Compromised Host
menggunakan 5-Tuple.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Menyelidiki Data Jaringan
Lab - Pisahkan Host yang Disusupi Menggunakan 5-Tuple
Di lab ini, Anda akan menyelesaikan tujuan berikut:
• Gunakan tools Security Onion untuk menyelidiki eksploitasi.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Menyelidiki Data Jaringan
Lab - Selidiki Eksploitasi Malware
Di lab ini, Anda akan menyelesaikan tujuan berikut:
• Gunakan Security Onion untuk menginvestigasi malware yang lebih kompleks, gunakan
exploit kit untuk menginfeksi host.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Menyelidiki Data Jaringan
Lab - Menyelidiki Serangan pada Host Windows
Di lab ini, Anda akan menyelesaikan tujuan berikut:
• Selidiki serangan pada host Windows.
• Gunakan Sguil, Kibana, dan Wireshark di Security Onion untuk menyelidiki serangan itu.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
27.3 Meningkatkan
Pekerjaan Analis Keamanan
Siber
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Meningkatkan Pekerjaan Analis Keamanan Siber
Dashboard dan Visualisasi
• Dashboard menyediakan
kombinasi data dan visualisasi
yang memungkinkan analis
keamanan siber untuk fokus
pada detail dan informasi
tertentu.
• Dasbor biasanya bersifat
interaktif.
• Kibana menyertakan
kemampuan mendesain
dasbor khusus.
• Selain itu, alat-alat seperti
Squert di Security Onion
menyediakan antarmuka
visual ke data NSM.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
Meningkatkan Pekerjaan Analis Keamanan Siber
Manajemen Alur Kerja
• Alur kerja adalah urutan proses dan prosedur sesuai dengan tugas kerja yang telah
diselesaikan.
• Mengelola alur kerja SOC:
• Meningkatkan efisiensi tim operasi siber
• Meningkatkan akuntabilitas staf
• Memastikan bahwa semua peringatan potensial diperlakukan dengan benar
• Sguil menyediakan manajemen alur kerja dasar tetapi bukan pilihan yang baik untuk
operasi besar. Bisa dengan menggunakan sistem pihak ketiga yang sudah disesuaikan.
• Query otomatis menambah efisiensi alur kerja operasi siber. Query ini secara otomatis
mencari insiden keamanan kompleks yang mungkin terlewati oleh tools lain.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
27.4 Ringkasan Bekerja
dengan Data Keamanan
Jaringan
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Bekerja dengan Data Keamanan Jaringan
Apa yang Saya Pelajari dalam Modul ini?
• Platform pemantauan keamanan jaringan seperti ELK atau Elastic Stack harus menyatukan
data untuk dianalisis.
• ELK terdiri dari Elasticsearch, Logstash, dan Kibana dengan komponen, Beats, ElastAlert,
dan Curator.
• Data jaringan harus dikurangi sehingga hanya data relevan yang diproses oleh sistem NSM.
• Data jaringan juga harus dinormalisasi untuk mengonversi jenis data yang sama ke format
yang konsisten.
• Sguil menyediakan konsol yang memungkinkan analis keamanan siber untuk menyelidiki,
memverifikasi, dan mengklasifikasikan peringatan keamanan.
• Visualisasi Kibana memberikan wawasan tentang data NSM dengan mewakili format data
dalam jumlah besar yang lebih mudah diinterpretasikan.
• Manajemen alur kerja menambah efisiensi kerja tim SOC.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31