[HOWTO] Mengintegrasikan Snort dengan OSSIM

[HOWTO] Mengintegrasikan Snort dengan OSSIM

April 23, 2017
Siang guys, kali ini gue coba mau bikin tutorial gimana cara mengintgrasikan snort dengan ossim.. Sebelumnya, apasih Snort itu?
Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati aktivitasdalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu Network IntrusionDetection System (NIDS) yang berskala ringan (lightweight), dan software inimenggunakan sistem peraturan-peraturan (rules system) yang relatif mudah dipelajariuntuk melakukan deteksi dan pencatatan (logging) terhadap berbagai macam seranganterhadap jaringan komputer
Lalu bagaimana dengan ossim? Apa itu ossim?
OSSIM berberupa sebuah sistem operasi berbasis debian yang di dalamnya sudah terinstall berbagai aplikasi untuk keperluan network monitoring, HIDS, NIDS, dan lain-lain
Untuk lebih lanjut, silahkan googling sendiri ya 😊

Pada tutorial ini, saya memiliki 2 sistem operasi yang terinstal di lab kantor yaitu sebagai berikut:
  1. Ubuntu 14.04 (Snort)
  2. Debian (SIEM / OSSIM)
Untuk SIEM ini juga di pakai sebagai server logging yang mana Snort akan mengirimkan log ke SIEM, mari kita konfigurasi siem nya terlebih dahulu.

Buke file rsyslog.conf pada siem, lalu tambahkan konfigurasi dibawah ini


tambahkan di baris paling bawah, berikut adalah penjelasan konfigurasi di atas.
  1. 192.168.13.20 → IP OSSIM
  2. local1.info → Setiap pesan yang bersifat TCP/UDP akan di kirimkan ke IP OSSIM (192.168.13.20)
Kemudian, kita akan membuat konfigurasi snort di dalam folder /etc/rsyslog.d/ dan disini saya akan menamakan filenya dengan nama remote-snort.conf lalu tambahkan konfigurasi dibawah ini


berikut adalah penjelasan konfigurasi di atas.
  1. $ModLoad imtcp → Mendeteksi setiap koneksi yang protokol nya TCP
  2. $InputTCPServer Run 514 → Memberitahu si rsyslog bahwa port 514 yang akan menerima segala trafik yang masuk
  3. :fromhost-ip, isequal, "192.168.13.70" /var/log/snort/alert → 192.168.13.70 ini adalah ip snort yang mana si snort akan mengirimkan log ke siem ke dalam folder /var/log/snort/alert
Setelah selesai, mari kita test mengirimkan manual logging dengan menggunakan logger


Yup! Siem sudah berhasil menerima log dari snort

Sekarang mari kita test, apakah output yang di keluarkan siem akan sama hasilnya dengan mesin snort?


Yup! Siem dan Snort menghasilkan output yang sama!

Semoga membantu 🙂
Randall Tux

Artikel Terkait

Next
« Prev Post
Previous
Next Post »
Langganan: Posting Komentar (Atom)