Open in app

Sign in

Write

Sign in

Belajar Security Monitoring dengan Wazuh SIEM Part 6 : Integrate Powershell with Wazuh to Forward Powershell Logs to Wazuh Server

Belvas Ghazalah Aufa
5 min readMay 30, 2023

Introduction

PowerShell adalah command-line dan bahasa skrip yang dikembangkan oleh Microsoft. PowerShell dirancang khusus untuk administrasi sistem dan otomatisasi tugas-tugas pada environtment Windows. Dengan PowerShell, pengguna dapat mengeksekusi perintah dan skrip untuk mengelola sistem operasi, konfigurasi, dan aplikasi.

PowerShell memiliki kemampuan yang kuat dalam melakukan administrasi sistem, termasuk mengelola pengguna, grup, jaringan, dan objek-objek lainnya pada environtment Windows. PowerShell juga mendukung integrasi dengan teknologi seperti Windows Management Instrumentation (WMI) dan .NET Framework, yang memungkinkan pengguna untuk mengakses dan mengelola informasi yang lebih mendalam tentang sistem.

Pengambilan log PowerShell sangat penting dalam konteks EDR (Endpoint Detection and Response) dan SIEM (Security Information and Event Management). PowerShell adalah alat yang sering digunakan oleh penyerang dalam serangan siber karena kemampuannya yang kuat dan fleksibel. Penyerang dapat menggunakan PowerShell untuk mengeksekusi skrip berbahaya, mengakses network resources, mencuri informasi sensitif, dan melakukan tindakan jahat lainnya.

Dengan melakukan pengambilan log pada PowerShell, sistem keamanan EDR/SIEM dapat memantau aktivitas PowerShell pada sistem dan mengidentifikasi aktivitas yang mencurigakan atau berbahaya. Log ini mencakup informasi tentang perintah PowerShell yang dieksekusi, parameter yang digunakan, file skrip yang dijalankan, dan interaksi dengan sistem lainnya. Dengan menganalisis log ini, tim keamanan SOC dapat mendeteksi serangan atau perilaku mencurigakan yang melibatkan PowerShell dan mengambil tindakan yang diperlukan untuk melindungi sistem dan data.

Dalam banyak kasus, pengambilan log PowerShell juga membantu dalam penyelidikan forensic post-incident, karena log tersebut menyimpan jejak aktivitas yang dapat membantu mengidentifikasi sumber serangan, metode yang digunakan, dan dampak yang ditimbulkan. Dengan demikian, pengambilan log PowerShell menjadi komponen penting dalam strategi keamanan yang holistik untuk melindungi sistem dan jaringan dari ancaman yang menggunakan PowerShell sebagai vektor serangan.

Berikut ini merupakan tatacara untuk melakukan pengiriman log powershell dari agent windows wazuh ke wazuh server.

Agent Settings

Tahap pertama yang harus dilakukan adalah melakukan Enable terhadap fitur GPO pada sistem operasi windows di wazuh Agent milik anda. Dengan cara melakukan search “Edit Group Policy” pada fitur windows search anda, dan klik “Computer Configuration” > “Administrative Template” > “Windows Powershell”, Seperti pada gambar dibawah ini.

Setelah itu, lakukan enable pada fitur “Module Logging” lalu lakukan penambahan terhadap Module names dengan value “*” untuk melakukan logging terhadap semua jenis module. seperti pada gambar dibawah ini

Setelah itu klik tombol Ok dan Apply. Lalu enable fitur lainnya yaitu “Powershell Script Block Logging” dan “Powershell Transcription”. Seperti pada gambar dibawah ini.

Setelah fitur GPO sudah di enable, lakukan pengecekan terhadap log powershell pada event viewer, jika log powershell tersebut tersedia di event viewer, maka powershell berhasil untuk di log, seperti pada gambar dibawah ini.

Wazuh Manager

Pada wazuh server, lakukan pengeditan terhadap agent.conf dan tambahkan script dibawah ini untuk melakukan pengambilan log powershell yang terletak pada Event viewer log sebelumnya.

        <localfile>
              <location>Microsoft-Windows-PowerShell/Operational</location>
          <log_format>eventchannel</log_format>
      </localfile>

Kira kira seperti gambar dibawah ini,

Setelah file tersebut berhasil untuk diedit, lakukan penambahan terhadap rule baru dibawah ini pada file rule local_rules.xml, untuk melakukan alerting & triggering terhadap beberapa powershell action di agent anda.

<group name="windows-custom,">

  <rule id="100535" level="5">
    <if_sid>60009</if_sid>
    <field name="win.system.providerName">^Microsoft-Windows-PowerShell$</field>
    <group>powershell,</group>
    <description>Powershell Information EventLog</description>
  </rule>

  <rule id="100536" level="7">
    <if_sid>60010</if_sid>
    <field name="win.system.providerName">^Microsoft-Windows-PowerShell$</field>
    <group>powershell,</group>
    <description>Powershell Warning EventLog</description>
  </rule>

  <rule id="100537" level="10">
    <field name="win.system.providerName">^Microsoft-Windows-PowerShell$</field>
    <field name="win.system.severityValue">^ERROR$</field>
    <group>powershell,</group>
    <description>Powershell Error EventLog</description>
  </rule>

  <rule id="100538" level="13">
    <if_sid>60012</if_sid>
    <field name="win.system.providerName">^Microsoft-Windows-PowerShell$</field>
    <group>powershell,</group>
    <description>Powershell Critical EventLog</description>
  </rule>

</group>

kira kira seperti pada gambar dibawah ini !

Setelah itu lakukan save dan lakukan restart pada wazuh manager anda dengan menggunakan command dibawah ini !

systemctl restart wazuh-manager

Testing

Untuk melakukan testing, disini saya menggunakan tool APT-Simulator, yang biasanya digunakan untuk melakukan testing terhadap Cybersecurity system. Tool ini melakukan simulasi terhadap suatu agent untuk membuatnya terlihat seperti compromised system. Untuk melakukan download tool ini, anda hanya perlu melakukan klik pada link dibawah ini. Pastikan sebelum melakukan download, matikan semua antivirus system pada agent anda !

https://github.com/NextronSystems/APTSimulator

Setelah download selesai, lakukan extract terhadap file tersebut, dan lakukan eksekusi dengan cara “Open as Administrator” pada file batch “APTSimulator” seperti pada gambar dibawah ini.

Setelah itu, ikuti instruksi yang diberikan dan ketik “0” untuk mengetest semua module pada tool tersebut. Setelah test selesai, kita coba lihat pada wazuh-dashboard anda di tab security events, dan lihat apakah powershell log anda berhasil untuk di forward ke wazuh server atau tidak, jika berhasil maka akan seperti ini visualisasi nya !

Summary

Kesimpulannya adalah integrasi antara powershell dan wazuh untuk melakukan pengiriman log powershell ke wazuh server sangat penting untuk dilakukan, karena kebanyakan hacker / penyerang melakukan operasi nya menggunakan powershell dalam melakukan gaining access. Saya harap artikel saya ini berguna bagi anda sekalian. Terima kasih telah membaca artikel saya ini.

-Regards,

Sign up to discover human stories that deepen your understanding of the world.

Wazuh
Siem
Edr
Powershell
Cybersecurity
Unlisted

Belvas Ghazalah Aufa
Belvas Ghazalah Aufa

Written by Belvas Ghazalah Aufa

83 Followers
26 Following

Cyber Security Enthusiast | Red Teamer | IT Security | CEH

Responses (1)

Write a response

What are your thoughts?

Hengky

Jul 10, 2024

Kalau integrasi dgn PS ini baru sebatas monitoring ya mas. Apakah bisa memanfaatkan seluruh kemampuan dari PS spt setting windows policy atau control behavior windows melalui script2 yg dikontrol Wazuh?

More from Belvas Ghazalah Aufa

See all from Belvas Ghazalah Aufa

Recommended from Medium

Lists

Spell AI Automation
An image by the author.
iPhone displaying the new intelligent Siri

Tech & Tools

23 stories409 saves

Medium's Huge List of Publications Accepting Submissions

414 stories4678 saves

Staff picks

826 stories1649 saves
Robot hand touching human hand

Natural Language Processing

1977 stories1619 saves
See more recommendations

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams