Skip to main content

Penguatan TTIS se-Provinsi Kalimantan Barat

· 12 min read
Mochamad Jazuly
Mochamad Jazuly
Cybersecurity Analyst

Penguatan Tim Tanggap Insiden Siber Kabupaten/Kota se-Provinsi Kalimantan Barat

Kali ini saya berkesempatan untuk eksplorasi SIEM (Security Information and Event Management) Wazuh sebagai alat bantu pengelolaan insiden siber bersama rekan-rekan dari seluruh kabupaten dan kota se-Provinsi Kalimantan Barat.

Kegiatan ini dilaksanakan dalam rangka Peningkatan Kematangan Keamanan Siber dan Sandi serta meningkatkan kapasitas dan kapabilitas SDM (Sumber Daya Manusia) TTIS di Kabupaten dan Kota di Provinsi Kalimantan Barat.

Ada 2 (dua) praktikum yang saya bawakan, yaitu :

Sesi-1. Optimalisasi Wazuh

Pada sesi ini kami melakukan optimalisasi pada Wazuh untuk dapat mengeksplorasi dan mengaktifkan beberapa fiturnya:

1. Endpoint Security

2. Threat Intelligence

Configuration Assessment

Configuration Assessment pada dasarnya adalah proses meninjau dan memvalidasi seluruh pengaturan sistem, mulai dari audit hingga validasi, demi memastikan semuanya sudah sejalan dengan kebijakan keamanan, standar terbaik di industri, serta ketentuan regulasi yang berlaku.

Security Configuration Assessment (SCA) involves evaluating system settings and configurations to ensure they align with security best practices and compliance standards.

Mengapa Penilaian Konfigurasi Itu Krusial dalam Bisnis?

Kesalahan konfigurasi merupakan salah satu penyebab utama terjadinya insiden keamanan. Banyak kasus pelanggaran data, baik di cloud maupun infrastruktur on-premises, terjadi karena pengaturan sistem yang tidak tepat. Hal ini bisa muncul akibat human error, kurangnya pemahaman, atau bahkan kelalaian dalam proses operasional. Penyerang kerap mengeksploitasi celah-celah yang sebenarnya bisa dihindari jika konfigurasi dilakukan dengan benar sejak awal.

Penilaian konfigurasi menawarkan pendekatan sistematis untuk meninjau dan memastikan semua pengaturan sistem sesuai dengan standar keamanan yang berlaku. Dengan langkah ini, potensi masalah bisa dideteksi lebih awal sebelum berkembang menjadi risiko yang lebih besar.

Manfaat mengaktifkan fitur Configuration Assessment pada Wazuh

Beberapa alasan mengapa penilaian konfigurasi sangat penting bagi bisnis:

  1. Mengurangi Risiko Keamanan: Dengan mengidentifikasi serta memperbaiki konfigurasi yang keliru, organisasi dapat menutup potensi celah yang bisa dimanfaatkan pihak tidak bertanggung jawab.
  2. Memenuhi Kebutuhan Kepatuhan: Regulasi seperti GDPR, HIPAA, dan PCI-DSS mewajibkan standar keamanan tertentu. Penilaian konfigurasi membantu memastikan organisasi tetap berada di jalur yang benar dalam pemenuhan persyaratan tersebut.
  3. Meningkatkan Efisiensi Operasional: Proses penilaian yang rutin membantu tim IT menjaga performa sistem tetap optimal dan memaksimalkan pemanfaatan sumber daya yang ada.
  4. Pencegahan Insiden: Dengan melakukan penilaian konfigurasi secara proaktif, organisasi dapat mencegah munculnya insiden yang dapat mengganggu operasional bisnis.

Malware Detection

Deteksi malware, dalam lingkungan bisnis saat ini, sudah bukan lagi sekadar kebutuhan teknis—ini jadi bagian penting dari strategi perlindungan organisasi. Ancaman malware terus berkembang, semakin canggih dan sulit ditebak. Karena penjahat siber makin inovatif, deteksi malware jadi semacam garis pertahanan utama demi menjaga data dan aset organisasi. Tim IT perlu benar-benar paham bagaimana pola kerja malware serta mengenali indikator kompromi (IoC) sedini mungkin. Dengan begitu, organisasi bisa mengambil langkah proaktif—misalnya memperbarui sistem keamanan, mengedukasi karyawan, dan memastikan kebijakan keamanan dijalankan secara konsisten. Intinya, deteksi malware bukan cuma soal teknologi, tapi juga budaya kerja yang peduli keamanan siber.

Malware detection refers to the strategies and tools used to identify malicious software threats. These techniques range from signature-based scanning to behavioral analysis and machine learning, enabling the detection of diverse malware types such as ransomware, rootkits, spyware, adware, trojans, viruses, and worms.

Kali ini kita integrasikan Wazuh dengan VirusTotal untuk mendeteksi file baru atau modifikasi berbahaya atau tidak.

Manfaat mengaktifkan fitur Malware Detection pada Wazuh
  1. Dari sisi efisiensi biaya, deteksi malware yang andal memungkinkan organisasi menghemat sumber daya, waktu, serta biaya terkait insiden keamanan. Lebih baik mencegah daripada harus mengeluarkan anggaran besar untuk pemulihan pasca serangan.
  2. Fitur deteksi proaktif bekerja dengan memantau aktivitas sistem dan perilaku kode secara real-time, sehingga tim keamanan bisa mendapatkan wawasan tentang potensi ancaman—baik yang sudah dikenal maupun yang baru muncul. Pendekatan ini bikin tim lebih siap dalam menangani risiko.
  3. Selain itu, sistem deteksi malware modern mampu mengumpulkan dan mengkorelasikan data dari berbagai sumber: traffic jaringan, perilaku pengguna, hingga insiden historis. Analisis ini sangat membantu dalam mengidentifikasi pola ancaman dan mengambil tindakan yang tepat.
  4. Dari segi analitik dan pelaporan, deteksi malware yang efektif memudahkan tim keamanan untuk memprioritaskan kerentanan paling kritis. Sumber daya organisasi pun bisa dialokasikan lebih bijak, sehingga strategi keamanan menjadi lebih terarah.
  5. Respons insiden pun jadi jauh lebih cepat kalau deteksi dilakukan secara real-time, sehingga kerugian bisa diminimalkan dan operasional organisasi dapat kembali normal tanpa penundaan berarti.
  6. Perusahaan juga nggak bisa mengabaikan aspek kepatuhan. Banyak regulasi seperti GDPR, HIPAA, atau PCI DSS yang mewajibkan perlindungan data sensitif—dan deteksi malware adalah salah satu syarat utama untuk memenuhinya.
  7. Terakhir, menjaga integritas sistem lewat deteksi malware yang optimal sangat penting untuk mempertahankan reputasi organisasi sebagai entitas yang aman dan profesional. Dalam dunia bisnis yang makin digital, kepercayaan pelanggan adalah aset utama, dan deteksi malware berperan besar dalam menjaganya.

File Integrity Monitoring (FIM)

File Integrity Monitoring (FIM) itu pada dasarnya adalah proses memantau dan memberi notifikasi jika ada perubahan pada file atau folder penting di sistem organisasi. Kalau ada file yang tiba-tiba diubah, dihapus, atau bahkan ditambah tanpa alasan yang jelas, sistem FIM langsung kasih alert. Ini krusial banget buat menjaga keamanan data organisasi, supaya nggak ada aktivitas mencurigakan atau akses tidak sah yang luput dari perhatian. Selain itu, pencatatan setiap perubahan juga membantu banget buat memenuhi standar kepatuhan—jadi kalau ada audit, semua riwayatnya jelas. Intinya, FIM jadi semacam sistem deteksi dini kalau ada potensi pelanggaran keamanan atau aktivitas berbahaya di lingkungan bisnis.

File Integrity Monitoring (FIM) involves tracking and alerting on changes to files and directories. It helps organizations detect unauthorized modifications, support compliance efforts, and identify signs of potential compromise or malicious activity.

FIM bisa kita konfigurasi untuk memonitoring direktori tertentu yang menurut kita kritikal dan dapat melakukan exclude pada direktori dengan kritikalitas rendah.

Cara kerja FIM

FIM mendeteksi perubahan, pembuatan, atau penghapusan file. File dan direktori dipantau untuk perubahan, melacak atribut, izin, kepemilikan, ukuran, dan konten.

Pembuatan File

Setiap kali ada file baru muncul di direktori yang dipantau, FIM langsung mendeteksi perubahan tersebut. Sistem secara otomatis mencatat informasi penting: nama file, nilai hash, waktu pembuatan, identitas pengguna yang membuat file, hingga proses yang terlibat. Semua data itu langsung disimpan dalam database FIM, jadi riwayatnya jelas.

Modifikasi File

Kalau ada file yang diubah, FIM akan membandingkan nilai checksum terbaru dengan data lama yang sudah tersimpan. Begitu terdeteksi perbedaan, sistem segera mengeluarkan peringatan—memberitahu tim IT bahwa file tersebut telah dimodifikasi. Dengan begitu, potensi risiko bisa langsung direspons.

Penghapusan File

Saat file yang sebelumnya ada tiba-tiba hilang dari direktori, FIM mengidentifikasi file tersebut sebagai terhapus. Informasi terkait—seperti atribut terakhir file dan waktu penghapusan—langsung dicatat, memastikan setiap perubahan tercatat dengan rapi.

Threat Hunting

Threat hunting dalam dunia bisnis sebenarnya mirip seperti melakukan audit keamanan secara proaktif. Tim keamanan nggak cuma mengandalkan alat deteksi yang canggih, tapi juga mengombinasikan analisis data dan keahlian orang-orangnya untuk mencari potensi ancaman sebelum benar-benar terjadi serangan. Dengan strategi ini, organisasi bisa mendeteksi dan menangani risiko yang mungkin saja lolos dari sistem pertahanan tradisional. Intinya sih, jangan cuma tunggu masalah datang—lebih baik antisipasi sejak dini demi melindungi bisnis.

Threat hunting is the proactive process of searching for signs of malicious activity within an organization's environment before an attack is initiated. By leveraging advanced detection tools, analytics, and human expertise, security teams can identify and neutralize emerging threats that may bypass traditional defenses.

Threat hunting, dalam praktiknya, mirip seperti kerja detektif di dunia maya—bedanya, targetnya adalah ancaman siber, bukan sekadar pelaku kriminal biasa. Prosesnya nggak asal-asalan; tim threat hunter memulai dengan membangun hipotesis berdasarkan wawasan industri, data historis, dan tren serangan yang lagi marak. Mereka nggak cuma nebak-nebak, tapi benar-benar mengandalkan insight dan pengalaman.

Setelah hipotesis terbentuk, analisis data besar pun dimulai. Mereka mengurai log jaringan, data dari endpoint, hingga lingkungan cloud, demi menemukan anomali, pola-pola mencurigakan, atau indikator kompromi yang kadang tersembunyi banget. Jujur saja, ini kerjaan berat, apalagi dengan data segitu banyak.

Untungnya, ada teknologi canggih yang membantu, seperti SIEM, EDR/XDR, dan platform intelijen ancaman. Analisis perilaku juga jadi andalan buat mendeteksi aktivitas nggak wajar yang susah ditangkap mata biasa. Meski sebagian proses sudah otomatis, peran manusia tetap nggak tergantikan. Keahlian analis untuk membaca situasi, mengambil keputusan cepat dan tepat, serta beradaptasi dengan dinamika ancaman yang berubah-ubah adalah kunci utama agar bisnis tetap aman dari risiko siber yang makin kompleks.

Log Data Analysis

Analisis data log pada dasarnya adalah proses memeriksa catatan yang dihasilkan perangkat jaringan, endpoint, dan aplikasi untuk memahami aktivitas sistem serta kondisi keamanannya. Dengan langkah ini, tim keamanan bisa mendeteksi ancaman secara lebih cepat, merespons insiden dengan sigap, dan mengatasi masalah operasional secara efisien. Selain itu, analisis log juga sangat penting untuk memastikan organisasi tetap patuh pada regulasi yang berlaku.

Pada sesi ini kita mencoba 3 skenario praktik, yaitu:

1. Event Logging | Archiving event logs

Tidak semua log ditampilkan oleh Wazuh, karena akan menggunakan storage yang besar, namun dalam forensik diperlukan log yang lengkap baik yang legitimate maupun tidak. Kita bisa mengaktifkan fitur ini melalui cara berikut Enabling archiving

Secara default, fitur arsip di Wazuh memang tidak aktif. Alasannya simpel: sistem ini akan menyimpan log secara permanen di server Wazuh. Ketika arsip diaktifkan, Wazuh Manager otomatis membuat file arsip untuk menyimpan dan menjaga data keamanan, biasanya untuk kebutuhan kepatuhan dan forensik.

Event Logging

info

Wazuh archives akan menampung seluruh log yang dikumpulkan dari setiap endpoint yang dipantau. Artinya, kebutuhan ruang penyimpanan di server Wazuh akan meningkat seiring waktu. Sebelum mengaktifkan fitur ini, sebaiknya pertimbangkan dulu dampaknya terhadap kapasitas disk dan performa server agar operasional tetap optimal.

2. Monitoring root/user Commands

Linux Audit system pada dasarnya berfungsi sebagai sistem pemantauan aktivitas di operating system, mengikuti aturan yang sudah dikonfigurasi sebelumnya. Tapi, perlu digarisbawahi—Audit sendiri bukanlah solusi keamanan yang berdiri sendiri. Ia harus terintegrasi dengan tools lain agar dapat benar-benar memperkuat proteksi sistem.

Kali ini, pembahasan difokuskan pada pemantauan aktivitas user root di Linux (namun dapat dikonfigurasi juga untuk memantau aktivitas user), dengan memanfaatkan Auditd dan Wazuh.

Wazuh sendiri berperan sebagai sistem analitik yang mengolah data dari Audit. Dengan kemampuannya, Wazuh mampu menganalisis peristiwa yang terlapor, memberikan notifikasi bila ditemukan aktivitas yang berisiko, serta membantu tim IT untuk memonitor perintah yang dijalankan dengan hak akses root. Dengan demikian, potensi risiko keamanan bisa terdeteksi dan ditangani secara lebih proaktif.

Monitoring root/user Commands

Baca lebih lanjut:

3. Web shell Detections

Web shell merupakan semacam alat akses jarak jauh yang dipakai oleh pelaku kejahatan siber untuk masuk dan mengendalikan server web tanpa izin. Biasanya mereka menargetkan server populer seperti IIS, Apache, NGINX, sampai sistem manajemen konten macam WordPress. Celah keamanan pada aplikasi atau konfigurasi server yang kurang rapi sering banget jadi jalan masuk, lewat teknik-teknik lama seperti SQL injection, XSS, atau remote file inclusion.

Setelah pelaku berhasil menanamkan web shell di server, mereka punya akses penuh hanya lewat browser. Dari situ, mereka bisa menjalankan berbagai aksi—mulai dari mengeksekusi perintah, mencuri data penting organisasi, mengunggah malware baru, sampai merusak tampilan situs web. Intinya, web shell ini menciptakan pintu belakang yang sulit dideteksi dan sangat berisiko bagi keamanan bisnis.

Web shell Detections

Web shell umumnya menggunakan metode yang serupa untuk menjaga akses berkelanjutan ke server yang sudah berhasil ditembus. Biasanya, pelaku akan membuat atau memodifikasi file di direktori yang dapat diakses melalui web, lalu membuka koneksi jaringan baik untuk upload file maupun reverse shell. Selain itu, mereka juga menjalankan berbagai perintah guna melanjutkan eksploitasi. Intinya, setelah mereka punya akses, mereka akan memastikan bisa tetap masuk dan mengontrol server kapan pun dibutuhkan.

Vulnerability Detection

Vulnerability Detection adalah proses mengidentifikasi celah keamanan atau kelemahan dalam sistem, jaringan, atau perangkat lunak sebelum penyerang dapat memanfaatkannya untuk mendapatkan akses tidak sah dan melakukan aktivitas berbahaya. Proses ini melibatkan pemindaian atau pengujian sistematis untuk menemukan kerentanan seperti perangkat lunak yang sudah usang, konfigurasi keamanan yang salah, dan lainnya.

Menemukan kerentanan secara dini dan memperbaikinya membantu menjaga infrastruktur TI beroperasi dengan lancar dan aman. Deteksi kerentanan penting untuk mematuhi kepatuhan regulasi, membantu organisasi menghindari denda, dan melindungi reputasi mereka.

Vulnerability detection is the process of identifying weaknesses in software, systems, or configurations that could be exploited by threat actors. It enables organizations to proactively address security gaps, reduce attack surfaces, and maintain compliance with industry standards.

Sesi-2. Studi Kasus pada Wazuh

Pada studi kasus ini, kita menggunakan lab yang didalamnya memuat artefak/log pada Wazuh. Sesi ini kami memeberikan 50 pertanyaan yang dapat ditemukan pada Lab Wazuh yang disediakan dengan dasar pengetahuan Sesi-1 sebelumnya.

info

Karena size Lab Wazuh yang besar ~3.8GB, maka bagi Anda yang ingin mencobanya, dapat mengirimkan email atau berkomentar di bawah untuk saya kirimkan Lab dimaksud.

Unduh Materi

Download Materi

password: zv0Djt%vnGJAYW=
Jika informasi ini bermanfaat bagi Anda
saya sangat mengapresiasi jika ditraktir kopi
🔻

buy me a coffee