Belajar Security Monitoring dengan Wazuh SIEM Part 1 : Cara Set-up Wazuh SIEM Lab di Local Network

Blue Team Cyber Security Series by Belvas Ghazalah Aufa

Introduction

Wazuh adalah suatu security platform yang bersifat open-source yang dapat menyediakan suatu Security Monitoring dan Threat detection. Wazuh mencakup berbagai fitur keamanan seperti Log Analysis, Threat Detection, Network Security Monitoring, dan Security Information Event Management (SIEM). Wazuh dapat diintegrasikan dengan berbagai sistem keamanan lainnya, seperti firewall dan antivirus, serta dapat digunakan untuk memantau sistem operasi Windows, Linux, dan macOS. Wazuh dapat membantu organisasi untuk meningkatkan keamanan mereka dengan memberikan informasi yang lebih akurat tentang aktivitas yang mencurigakan pada jaringan mereka dan membantu mengidentifikasi ancaman keamanan sebelum terjadi kerusakan yang serius.

Pada kali ini, saya akan memberikan tutorial tentang bagaimana cara melakukan setup platform Wazuh SIEM sebagai Learning LAB pada jaringan local dengan bantuan VirtualBox dan Windows. Berikut ini adalah requierement / apa saja yang dibutuhkan untuk melakukan setup lab ini.

Prerequisites

• Virtualization software (e.g. VirtualBox)
• Wazuh server VM image (available on Wazuh website)
• Windows PC (as agent)

Step 1: Install Virtualization Software

Langkah pertama adalah menginstal software virtualisasi pada PC Windows lokal Anda. Anda dapat menggunakan VirtualBox, VMware Workstation, atau perangkat lunak virtualisasi lain yang Anda pilih, disini saya menggunakan VirtualBox. Setelah Anda menginstal perangkat lunak virtualisasi, Anda dapat melanjutkan ke langkah berikutnya.

Step 2: Download Wazuh Server VM Image

Selanjutnya, Anda perlu mendownload Wazuh server VM Image (.ova) dari situs web Wazuh. VM image tersebut telah tersedia dalam berbagai format, termasuk OVA, VMDK, dan QCOW2.

https://packages.wazuh.com/4.x/vm/wazuh-4.4.1.ova

Pilih format yang kompatibel dengan software virtualisasi Anda, dimana disini saya menggunakan virtualbox yang kompatibel dengan format .ova. Setelah download selesai, Anda dapat melanjutkan ke langkah berikutnya.

Step 3: Import Wazuh Server VM Image

Setelah proses download selesai, Buka software virtualisasi anda, dan impor Wazuh server VM image yang sebelumnya telah Anda unduh pada langkah sebelumnya.

Dengan cara mengklik file .ova diatas dan akan muncul window import virtual appliance seperti pada gambar dibawah ini. Pastikan bahwa jumlah RAM dan CPU anda memadai untuk menjalankan machine ini.

Step 4: Configure Wazuh Server VM

Sebelum Anda dapat menggunakan Wazuh server VM, Anda perlu mengkonfigurasinya. Pertama, lakukan start terhadap VM yang sudah di import pada tahap sebelumnya.

Setelah VM sudah berjalan, lakukan proses login sebagai user dengan menggunakan kredensial default yaitu (username: wazuh-user, password: wazuh). Setelah itu masuk sebagai Root dengan kredensial (username: root, password: wazuh).

Setelah Anda masuk sebagai Root, selanjutnya anda harus mendapatkan Ip address static milik wazuh server ini, dengan cara mengetik command

[root@wazuh-server wazuh-user]# ip a

Step 5: Login to Wazuh Dashboard

Setelah Ip address server telah diketahui yaitu 192.168.0.44, maka hal selanjutnya adalah login ke dashboard admin milik wazuh. Dengan cara mengetik https://<Server-IpAddress> di browser anda. disini saya akan mengetik https://192.168.0.44 seperti pada gambar dibawah ini.

Untuk proses login, disini credential nya masih bersifat default yaitu (username: admin, password: admin). Setelah login sukses, maka anda akan di redirect ke wazuh dashboard seperti pada gambar dibawah ini.

Step 6: Install Wazuh Agent on Windows PC

Setelah proses login telah sukses dan anda sudah dapat masuk ke dashboard, proses selanjutnya adalah melakukan instalasi Agent sebagai wazuh client pada Windows machine milik anda. dengan cara mengklik icon dropdown pada logo wazuh, lalu klik “Agents”. Seperti pada gambar dibawah ini.

Lalu tahap selanjutnya adalah mengklik tombol “Deploy New Agent” pada sisi kanan bawah. Seperti pada gambar dibawah ini.

Setelah mengklik tombol deploy agent tersebut, anda akan di arahkan ke halaman Deploy a new agent seperti pada gambar dibawah ini. Disini anda hanya perlu melakukan penyesuaian terhadap sistem operasi yang ingin dijadikan agent, dimana disini saya menggunakan sistem operasi Windows sebagai Agent.

Setelah agent sudah disesuaikan dengan sistem operasi anda, tahap selanjutnya adalah tahap instalasi Agent menggunakan Powershell. Anda hanya perlu membuka Powershell pada agent windows anda, lalu ketikkan comand dibawah ini sesuai dengan yang tertera di Step ke 6 dan ke 7 pada halaman Agent Deployment.

Step 7 : Checking The Agent Status

Setelah proses agent installation telah sukses, maka tahap selanjutnya adalah melihat apakah agent yang sudah di daftarkan sebelumnya sudah aktif atau belum, dengan cara kembali ke dashboard wazuh, lalu klik dropdown pada logo wazuh, dan klik menu “Agents”.

Jika sudah, maka status agent akan tampil seperti pada gambar diatas ini, terlihat bahwa status agent diatas sudah “Active”, yang artinya proses instalasi agent sebelumnya sudah sukses dan berhasil. Jika status agent masih “Never Connected” atau “Pending”, maka anda hanya perlu menunggu beberapa saat lagi sampai semua data dari agent terkirim ke server.

Conclusion

Dalam artikel ini, saya telah membahas langkah-langkah untuk membuat lab Wazuh SIEM di jaringan lokal Anda dengan menggunakan Wazuh server VM image sebagai server dan Windows OS sebagai agent. Dengan mengimplementasikan materi ini, Anda dapat mempelajari dan mempraktikkan Basic Network security & monitoring, serta meningkatkan pemahaman Anda tentang Threat detection dan Security Event Management (SIEM).

Saya berharap artikel ini dapat membantu Anda dalam memulai perjalanan Network Security dan meningkatkan pemahaman Anda tentang Threat Detection and Security Event Management.

Regards,

-Belvas Ghazalah Aufa