CA Module 27.id

Module 27: Working with Network
Security Data
CyberOps Associate v1.0

Modul 27: Bekerja dengan
Keamanan Data Jaringan
CyberOps Associate v1.0

Tujuan Modul
Judul Modul : Bekerja dengan Keamanan Data Jaringan
Tujuan Modul: Menafsirkan data untuk menentukan sumber peringatan.
Judul Topik Tujuan Topik

Menjelaskan bagaimana data disiapkan untuk digunakan
Platform Data Umum
dalam sistem Network Security Monitoring (NSM).
Menggunakan tools di Security Onion untuk menyelidiki
Menyelidiki Data Jaringan
peristiwa keamanan jaringan.
Meningkatkan Pekerjaan Analis Keamanan Menjelaskan tools pemantauan jaringan yang meningkatkan
Siber alur kerja manajemen.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
27.1 Platform Data Umum
Platform Data Umum
ELK
Security Onion meliputi Elastic Stack yang terdiri dari Elasticsearch, Logstash, dan Kibana (ELK).
Komponen Inti ELK:
• Elasticsearch: Open-core platform untuk
mencari dan menganalisis data organisasi
hampir secara real-time.
• Logstash: Memungkinkan pengumpulan
dan normalisasi data jaringan menjadi
indeks data yang dapat dicari secara efisien
oleh Elasticsearch.
• Kibana: Menyediakan antarmuka grafis ke
data yang dikompilasi oleh Elasticsearch.
• Beats: Rangkaian plugin perangkat lunak
yang mengirimkan berbagai jenis data ke
penyimpanan data Elasticsearch.
Platform Data Umum
Pengurangan Data (Data Reduction)
• Untuk mengurangi data, penting untuk
mengidentifikasi data jaringan yang harus
dikumpulkan dan disimpan untuk
mengurangi beban sistem.
• Dengan membatasi volume data, tool seperti
Elasticsearch akan jauh lebih berguna.
Platform Data Umum
Normalisasi Data
• Normalisasi data adalah proses menggabungkan data dari sejumlah sumber ke dalam
format umum.
• Skema umum akan menentukan nama dan format untuk bidang data yang diperlukan.
• Misalnya, alamat IPv6, alamat MAC, serta tanggal dan waktu dapat direpresentasikan
dalam berbagai format:
Format Alamat IPv6 Format Alamat MAC Format Tanggal
2001:db8:acad:1111:2222::33 A7:03:DB:7C:91:AA Monday, July 24, 2017 7:39:35pm

2001:DB8:ACAD:1111:2222::33 A7-03-DB-7C-91-AA Mon, 24 Jul 2017 19:39:35 +0000
2001:DB8:ACAD:1111:2222:0:0:33 A70.3DB.7C9.1AA 2017-07-24T19:39:35+00:00
• Normalisasi data juga diperlukan untuk mempermudah pencarian korelasi acara.
Platform Data Umum
Pengarsipan Data
• Mempertahankan data Network Security Monitoring (NSM) tanpa batas waktu, tidak dapat
dilakukan karena masalah penyimpanan dan akses.
• Periode penyimpanan untuk jenis informasi keamanan jaringan tertentu dapat ditentukan oleh
kerangka kerja kepatuhan.
• Data peringatan Sguil disimpan selama 30 hari secara default. Nilai ini ditetapkan di file
konfigurasi securityonion.conf.
• Data Security Onion selalu dapat diarsipkan ke penyimpanan eksternal oleh sistem arsip
data, tergantung pada kebutuhan dan kemampuan organisasi.
Catatan: Lokasi penyimpanan untuk berbagai jenis data Security Onion akan bervariasi
berdasarkan implementasi Security Onion.
Platform Data Umum
Lab – Mengkonversi Data Menjadi Format Universal
Di lab ini, Anda akan menyelesaikan tujuan berikut:
• Bagian 1: Gunakan command line tools untuk menormalkan entri log secara manual.
• Bagian 2: Timestamp harus dinormalisasi.
• Bagian 3: IPv6 membutuhkan normalisasi.
27.2 Menyelidiki Data
Jaringan
Bekerja di Sguil
• Di Security Onion, tempat
pertama yang akan dituju oleh
analis keamanan siber untuk
memverifikasi peringatan
adalah Sguil.
• Sguil secara otomatis
menghubungkan peringatan
serupa ke dalam satu baris
dan menyediakan cara untuk
melihat peristiwa terkait yang
diwakili oleh baris itu.
• Untuk memahami apa yang
terjadi di jaringan, sebaiknya
mengurutkan kolom CNT Sguil Alerts Diurutkan di CNT
untuk menampilkan peringatan
dengan frekuensi tertinggi. © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Query Sguil
• Query dapat dibuat di Sguil
menggunakan Query Builder.
Tool ini menyederhanakan
pembuatan query ke tingkat
tertentu.
• Analis keamanan siber harus
mengetahui nama field dan
beberapa masalah dengan nilai
field untuk membuat query di
Sguil secara efektif.
• Misalnya, Sguil menyimpan
alamat IP dalam representasi
integer.
Pivoting dari Sguil
• Sguil memberikan kemampuan
bagi analis keamanan siber untuk
beralih ke sumber dan tools
informasi lain.
• File log tersedia di Elasticsearch.
• Tangkapan paket yang relevan
dapat ditampilkan di Wireshark.
• Sguil dapat menyediakan pivot ke
Passive Real-time Asset Detection
System (PRADS) dan informasi
Security Analyst Network
Connection Profiler (SANCP).
Catatan: Interface Sguil mengacu pada PADS, bukan PRADS.

Penanganan Peristiwa di Sguil
• Sguil adalah konsol yang
memungkinkan analis keamanan
siber untuk menyelidiki,
memverifikasi, dan
mengklasifikasikan peringatan
keamanan.
• Tiga tugas dapat diselesaikan dalam
Squil untuk mengelola peringatan:
1. Peringatan yang terbukti false
positives dapat kedaluwarsa.
2. Event dapat ditingkatkan dengan
menekan tombol F9.
3. Suatu event dapat dikategorikan.
• Sguil mencakup tujuh kategori pre-built yang dapat ditetapkan dengan menggunakan
menu atau dengan menekan yang sesuai tombol fungsi.
Bekerja di ELK
• Logstash dan Beats digunakan untuk
penyerapan data di Elastic Stack.
• Kibana, yang merupakan antarmuka
visual ke dalam log, dikonfigurasi
untuk menampilkan 24 jam terakhir
secara default.
• Log diserap ke dalam Elasticsearch
ke dalam indeks atau database
terpisah berdasarkan rentang waktu
yang dikonfigurasi.
• Cara terbaik untuk memantau data di
Elasticsearch adalah dengan
membuat dashboard visual yang
disesuaikan.
Query dalam ELK
• Elasticsearch dibangun di atas Apache Lucene, sebuah mesin pencari open-source untuk
software library yang menampilkan kemampuan pengindeksan dan pencarian teks lengkap.
• Menggunakan Lucene software libraries, Elasticsearch memiliki bahasa query nya sendiri
berdasarkan JSON yang disebut Query Domain Specific Language (DSL).
• Bersama dengan JSON, query Elasticsearch menggunakan elemen seperti operator
Boolean, Fields, Ranges, Wildcard, Regex, Fuzzy Search, dan Text Search.
• Elasticsearch dirancang untuk berinteraksi dengan pengguna menggunakan klien berbasis
web yang mengikuti kerangka kerja HTTP REST.
• Metode yang digunakan untuk meng-eksekusi query adalah URI, cURL, JSON dan Dev
Tools.
Catatan: Query Elasticsearch tingkat lanjut berada di luar cakupan kursus ini. Di lab, Anda
akan diberikan pernyataan query yang kompleks, jika perlu.
Proses Investigasi atau Panggilan API
• Aplikasi berinteraksi dengan Sistem Operasi (OS)
melalui panggilan sistem ke OS Application
Programming Interface (API).
• Jika malware dapat mengelabui kernel OS agar
mengizinkannya melakukan panggilan sistem,
banyak eksploitasi yang mungkin dilakukan.
• Aturan OSSEC mendeteksi perubahan dalam
parameter berbasis host.
• Aturan OSSEC akan memicu peringatan di Sguil.
• Pivoting ke Kibana pada alamat IP host
memungkinkan Anda memilih jenis peringatan
berdasarkan program yang membuatnya.
• Memfilter indeks OSSEC menghasilkan tampilan peristiwa OSSEC yang terjadi
pada host, termasuk indikator bahwa malware mungkin telah berinteraksi dengan
kernel OS
Menyelidiki Detail File
• Di Sguil, jika analis keamanan
siber mencurigai suatu file,
nilai hash dapat dikirimkan ke
situs online untuk menentukan
apakah file tersebut adalah
malware yang diketahui.
• Di Kibana, Zeek Hunting
dapat digunakan untuk
menampilkan informasi
mengenai file yang telah
memasuki jaringan.
• Perhatikan bahwa di Kibana,
jenis event ditampilkan
sebagai bro_files, padahal
nama baru Bro adalah Zeek.
Lab - Tutorial Ekspresi Reguler

• Gunakan tutorial online untuk mencari regular expressions.
• Jelaskan informasi yang cocok dengan regular expression tersebut.
Lab - Ekstrak Executable dari PCAP
Melihat log sangat penting, tetapi juga penting untuk memahami bagaimana transaksi
jaringan terjadi di tingkat paket.
• Menganalisis lalu lintas yang ditangkap sebelumnya pcap file dan ekstrak file yang dapat
dieksekusi dari lalu lintas.
Video - Menafsirkan Data HTTP dan DNS untuk Mengisolasi
Threat Actor
Tonton video untuk melihat panduan dari lab Security Onion menafsirkan HTTP dan data
DNS ke Threat Actor yang terisolasi.
Lab - Menafsirkan Data HTTP dan DNS untuk Mengisolasi
Threat Actor
• Selidiki injeksi SQL dan eksploitasi eksfiltrasi DNS menggunakan tools Security Onion.
Video - Isolasi Host yang Disusupi Menggunakan 5-Tuple
Tonton video untuk melihat panduan dari lab Security Onion Isolate Compromised Host
menggunakan 5-Tuple.
Lab - Pisahkan Host yang Disusupi Menggunakan 5-Tuple
• Gunakan tools Security Onion untuk menyelidiki eksploitasi.
Lab - Selidiki Eksploitasi Malware
• Gunakan Security Onion untuk menginvestigasi malware yang lebih kompleks, gunakan
exploit kit untuk menginfeksi host.
Lab - Menyelidiki Serangan pada Host Windows
• Selidiki serangan pada host Windows.
• Gunakan Sguil, Kibana, dan Wireshark di Security Onion untuk menyelidiki serangan itu.
• Periksa exploit artefak.
27.3 Meningkatkan
Pekerjaan Analis Keamanan
Siber
Meningkatkan Pekerjaan Analis Keamanan Siber
Dashboard dan Visualisasi
• Dashboard menyediakan
kombinasi data dan visualisasi
yang memungkinkan analis
keamanan siber untuk fokus
pada detail dan informasi
tertentu.
• Dasbor biasanya bersifat
interaktif.
• Kibana menyertakan
kemampuan mendesain
dasbor khusus.
• Selain itu, alat-alat seperti
Squert di Security Onion
menyediakan antarmuka
visual ke data NSM.
Meningkatkan Pekerjaan Analis Keamanan Siber
Manajemen Alur Kerja
• Alur kerja adalah urutan proses dan prosedur sesuai dengan tugas kerja yang telah
diselesaikan.
• Mengelola alur kerja SOC:
• Meningkatkan efisiensi tim operasi siber
• Meningkatkan akuntabilitas staf
• Memastikan bahwa semua peringatan potensial diperlakukan dengan benar
• Sguil menyediakan manajemen alur kerja dasar tetapi bukan pilihan yang baik untuk
operasi besar. Bisa dengan menggunakan sistem pihak ketiga yang sudah disesuaikan.
• Query otomatis menambah efisiensi alur kerja operasi siber. Query ini secara otomatis
mencari insiden keamanan kompleks yang mungkin terlewati oleh tools lain.
27.4 Ringkasan Bekerja
dengan Data Keamanan
Jaringan
Bekerja dengan Data Keamanan Jaringan
Apa yang Saya Pelajari dalam Modul ini?
• Platform pemantauan keamanan jaringan seperti ELK atau Elastic Stack harus menyatukan
data untuk dianalisis.
• ELK terdiri dari Elasticsearch, Logstash, dan Kibana dengan komponen, Beats, ElastAlert,
dan Curator.
• Data jaringan harus dikurangi sehingga hanya data relevan yang diproses oleh sistem NSM.
• Data jaringan juga harus dinormalisasi untuk mengonversi jenis data yang sama ke format
yang konsisten.
• Sguil menyediakan konsol yang memungkinkan analis keamanan siber untuk menyelidiki,
memverifikasi, dan mengklasifikasikan peringatan keamanan.
• Visualisasi Kibana memberikan wawasan tentang data NSM dengan mewakili format data
dalam jumlah besar yang lebih mudah diinterpretasikan.
• Manajemen alur kerja menambah efisiensi kerja tim SOC.

CA Module 27.id

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

CA Module 27.id

Diunggah oleh

Hak Cipta:

Format Tersedia

Module 27: Working with Network

CyberOps Associate v1.0

CyberOps Associate v1.0

Judul Topik Tujuan Topik

Format Alamat IPv6 Format Alamat MAC Format Tanggal

2001:db8:acad:1111:2222::33 A7:03:DB:7C:91:AA Monday, July 24, 2017 7:39:35pm

• Normalisasi data juga diperlukan untuk mempermudah pencarian korelasi acara.

• Bagian 2: Timestamp harus dinormalisasi.

• Bagian 3: IPv6 membutuhkan normalisasi.

Catatan: Interface Sguil mengacu pada PADS, bukan PRADS.

Di lab ini, Anda akan menyelesaikan tujuan berikut:

• Jelaskan informasi yang cocok dengan regular expression tersebut.

• Periksa exploit artefak.

Anda mungkin juga menyukai