Belajar Security Monitoring dengan Wazuh SIEM Part 4 : Integrate Windows Defender Logs with Wazuh
Learn Security Monitoring with Wazuh SIEM/EDR
Introduction
Microsoft Windows Defender merupakan suatu program antivirus dan security yang dikembangkan oleh Microsoft Corporation. Awalnya dikenal sebagai Microsoft AntiSpyware. Windows Defender digunakan untuk melindungi komputer yang menjalankan sistem operasi Windows dari serangan virus, malware, spyware, dan ancaman siber lainnya.
Windows Defender menyediakan berbagai fitur keamanan, termasuk melakukan scanning pada virus dan malware dan juga melakukan quarantine terhadap file berbahaya tersebut dari komputer. Selain itu, Windows Defender juga dilengkapi dengan fitur proteksi real-time yang memonitor aktivitas sistem secara terus-menerus untuk mendeteksi ancaman baru.
Windows Defender bekerja secara otomatis di latar belakang komputer, dan juga memberikan perlindungan yang up-to-date terhadap ancaman siber. Windows defender juga dilengkapi dengan firewall yang membantu melindungi komputer dari serangan jaringan dan mengontrol akses ke internet.
Integration Process
Secara default, wazuh tidak dapat menerima dan melakukan parsing suatu log yang berasal dari windows defender pada agent windows, dampaknya adalah kita tidak bisa memonitor file berbahaya apa saja yang telah di tambahkan ke suatu agent . Maka dari itu dalam artikel ini saya akan mencoba melakukan integrasi antara microsoft windows defender dengan wazuh, yang bertujuan untuk melakukan pengiriman windows defender alert dari suatu windows agent ke wazuh server.
sebelum melakukan integrasi tersebut, kita perlu tahu dimana windows defender menyimpan semua log nya. Di agent saya, windows defender log tersimpan pada Event viewer di directory “Application & Service logs” > “Microsoft” > “Windows” > “Windows Defender” > “Operational”. Terlihat pada gambar dibawah ini bahwa log name nya ada di lokasi :
Microsoft-Windows-Windows Defender/Operational
Setelah mengetahui lokasi dari log name windows defender, hal selanjutnya yang harus kita lakukan adalah melakukan penambahan terhadap konfigurasi agent group untuk melakukan parsing terhadap log dari windows defender tersebut ke wazuh server milik kita.
Dengan cara mengklik icon wazuh di pojok kiri atas, lalu klik tombol dropdown, lalu klik “Management” > “Groups”.
Setelah itu, edit file group configuration agent windows anda, dengan cara mengklik tombol “Edit Group Configuration”.
Lalu tambahkan kode XML dibawah ini dan sesuaikan tag <location> dengan lokasi log name windows defender pada agent anda.
<agent_config>
<client_buffer>
<disabled>no</disabled>
<queue_size>100000</queue_size>
<events_per_second>1000</events_per_second>
</client_buffer>
<localfile>
<location>Microsoft-Windows-Windows Defender/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
</agent_config>
Setelah kode XML tersebut ditambahkan pada group configuration agent anda, lakukan save pada file tersebut lalu restart wazuh manager dengan cara mengetikkan command dibawah ini, lalu tunggu beberapa saat.
systemctl restart wazuh-managerSetelah proses restart wazuh-manager selesai, langkah selanjutnya adalah melakukan pengetesan terhadap integrasi tersebut, apakah alert dari windows defender akan terkirim ke wazuh dashboard atau tidak.
Testing
Disini untuk melakukan pengetesan, saya menggunakan file .eicar yang merupakan file Anti malware yang biasanya digunakan sebagai malware testing file dalam menguji suatu AV atau security devices lainnya.
Cara nya anda hanya perlu mengunjungi https://eicar.org, lalu melakukan download file eicar.zip tersebut seperti pada gambar yang saya sediakan dibawah ini.
Setelah proses download berhasil, langkah selanjutnya adalah melakukan execute terhadap file tersebut untuk men-trigger alert pada windows defender seperti pada gambar dibawah ini.
Setelah itu pasti windows defender akan melakukan automate quarantine terhadap file tersebut, dan juga akan mengirimkan windows defender log tersebut ke wazuh server. Dan tampak log windows defender nya ada pada gambar dibawah ini.
Terlihat bawah pada security events agent windows saya terdapat log dengan description “Windows Defender : Antimalware Platform detected potential unwanted software ()” yang merupakan log windows defender dari eksekusi file eicar.zip tadi.
Log Analysis
Jika dianalisis lebih lanjut pada log tersebut di gambar dibawah ini, dapat disimpulkan dengan cara melihat value dari data.win.eventdata.path yaitu lokasi file malware yang telah dieksekusi, dan juga jika dilihat dari value data.win.eventdata.process maka dapat disimpulkan bahwa yang melakukan proses eksekusi terhadap file eicar.zip merupakan software WinRar. Serta jika dilihat dari value data.win.eventdata.origin dapat disimpulkan bahwa file tersebut dieksekusi dari local machine. Serta jika dilihat dari value data.win.eventdata.fWlink tercantum juga threat intel dari file tersebut yang sudah dideteksi oleh microsoft.
Lebih lanjut kita lihat pada value data.win.system.message terlihat di baris “Category” bahwa ketegori file tersebut merupakan virus, dengan tingkat severity yaitu “severe”, dan juga terlihat Detection source nya dari fitur Real-Time Detection yang dimiliki oleh windows defender. Dapat dilihat juga pada baris “Action” bahwa windows defender juga melakukan proses quarantine secara otomatis terhadap file eicar tersebut.
Summary
Pada artikel kali ini, dapat disimpulkan bahwa integrasi antara Windows defender dan wazuh dapat dilakukan dengan baik dan berhasil, dan dapat disimpulkan juga bahwa wazuh mampu untuk melakukan integrasi dan log parsing terhadap security products lain dengan baik. Manfaat yang didapatkan dari integrasi ini adalah suatu tim SOC dapat melakukan pendeteksian dini terhadap malware yang di download oleh suatu agent dan melakukan mitigasi dini terhadap malware tersebut. Saya berharap artikel ini dapat berguna bagi anda sekalian. Terima kasih telah membaca artikel ini.
-Regards,
