Belajar Security Monitoring dengan Wazuh SIEM Part 3 : Enable Advanced Detection Rules on Wazuh

Learn Security Monitoring with Wazuh SIEM/EDR

Thumbnail

Introduction

Wazuh SIEM (Security Information and Event Management) merupakan suatu platform security yang digunakan untuk memantau, menganalisis, atau melaporkan suatu security incident dalam lingkungan IT. Dalam konteks Wazuh SIEM, “rules” mengacu pada suatu aturan atau peraturan yang digunakan dalam melakukan pendeteksian terhadap incident atau aktivitas yang mencurigakan yang memiliki potensi bahaya di dalam suatu jaringan atau sistem.

Rules pada Wazuh digunakan untuk memantau log, peristiwa, dan aktivitas yang terjadi pada agent, network devices, atau jaringan yang sedang dimonitor. ruleset ini membantu sistem untuk mengidentifikasi suatu pattern atau tanda-tanda yang menunjukkan adanya intrusion, security threats, atau abnormal behaviour.

Setiap rules biasanya berisi suatu kondisi yang harus dipenuhi untuk mengaktifkan fitur pendeteksian, serta tindakan apa yang harus diambil jika kondisi tersebut terpenuhi. Kondisi dalam rules tersebut dapat berupa kombinasi dari berbagai parameter, seperti string tertentu dalam log, aktivitas anomali, IOC yang terdapat pada log, atau kejadian yang berkaitan dengan serangan yang telah diketahui sebelumnya.

Contoh simple dari Rules Wazuh termasuk melakukan pendeteksian upaya login yang gagal secara berkali kali, deteksi aktivitas yang mencurigakan pada file sistem, deteksi upaya network penetration, dan banyak lagi. Jika suatu rules di trigger, Wazuh dapat suatu mengambil tindakan preventif seperti mengirimkan notifikasi alert, mengaktifkan active response, atau mengirimkan alert ke dashboard.

Secara keseluruhan, rules pada Wazuh dapaat membantu untuk memantau dan mendeteksi ancaman keamanan dengan memberikan mekanisme yang dapat diatur untuk melacak dan menanggapi kejadian yang mencurigakan di dalam lingkungan IT.

Untuk mengaktifkan atau menambahkan rules pada wazuh, langkah yang pertama adalah melakukan penambahan terhadap file rules yang berekstensi .xml pada wazuh dashboard anda. Dengan cara mengklik icon dropdown pada logo wazuh, lalu klik “Management” > “Rules” > “Add Rules”.

Tetapi disini saya akan mendemonstrasikan bagaimana cara melakukan penambahan terhadap advanced wazuh detection rules yang sudah disediakan pada github repository dibawah ini.

https://github.com/TrueMelody/Kumpulan-Rules-Wazuh

Github repository tersebut berisi suatu wazuh ruleset yang lebih akurat, deskriptif dari berbagai sumber yang terpercaya. Sebelum melakukan instalasi terhadap rules tersebut, pastikan anda membaca prerequisites dan requierement dibawah ini.

Prerequisites
Wazuh-Manager Version 4.x Required.
Wazuh Install Docs

Installation
Untuk melakukan instalasi terhadap rules tersebut, anda hanya perlu melakukan typing terhadap code snippets dibawah ini di dalam terminal wazuh server anda.

curl -so ~/wazuh_rules.sh https://raw.githubusercontent.com/TrueMelody/Kumpulan-Rules-Wazuh/main/wazuh_rules.sh && bash ~/wazuh_rules.sh

Setelah itu, anda akan di prompt untuk mengkonfirmasi apakah anda benar benar ingin melakukan instalasi terhadap wazuh detection rules tersebut atau tidak, jika sudah yakin atas pilihan anda, anda hanya perlu mengetikkan “yes” pada prompt tersebut. Seperti pada gambar dibawah ini. Setelah itu, anda hanya perlu menunggu proses instalasi dan menunggu proses restart wazuh-manager.

Jika proses instalasi sudah selesai, tahap selanjutnya adalah mengecek apakah ruleset tersebut sudah terinstall dengan baik atau belum, dengan cara login ke wazuh-dashboard, lalu mengklik icon dropdown pada logo wazuh, lalu klik “Management” > “Rules”. Jika sudah terinstall dengan baik, maka advanced ruleset tersebut akan tampil seperti pada gambar dibawah ini. Terlihat bahwa sudah ada ratusan rule yang terinstall pada wazuh manager anda.

Summary

Itulah dari tatacara bagaimana menginstall advanced wazuh rules yang digunakan untuk melakukan pendeteksian lebih lanjut dan lebih akurat terhadap suatu threat, intrusion maupun abnormal behaviour yang terjadi pada jaringan lokal anda. Saya harap artikel saya dapat bermanfaat bagi anda sekalian. Terima kasih sudah meluangkan waktu anda dalam membaca tulisan saya.

-Regards