Halo selamat pagi sobat sekolahlinux, beberapa bulan yang lalu saya berkenalan dengan yang namanya SIEM (Security information and event management) nah produk siem sendiri ada banyak, salah satunya yang free dan powerfull ada OSSIM dari alienvault, untuk ossim sendiri base os nya adalah debian yang sudah di remastering, dan untuk minimum hardware production yang dibutuhkan (4 Core Proc, 8GB Ram) namun untuk simulasi kali ini saya hanya menggunakan 2 core proc dan 4GB ram. oke langsung saja kita praktekan Ossim part1 – tutorial install ossim
pertama download dulu iso ossimnya di url dibawah ini
lalu untuk virtualisasinya saya menggunakan virtual box dengan spesifikasi dibawah ini, untuk network saya menggunakan 2 network interface “Host Only Adapter”
pada opsi dibawah pilih opsi “install alienvault OSSIM 5.x.x (64 Bit)
untuk bahasa disini saya pilih “english” bukannya sok :p hahah tapi supaya lebih familiar saja
untuk location kalian bisa memilih negara yang sesuai dengan negara tempat kalian tinggal hehe, disini saya mencoba menggunakan english, walaupun saya tinggal di planet bekasi 😀
untuk gambar dibawah kalian bisa pilih “american english” karena keyboard komputer jaman sekarang sebagian besar yang ada di indonesia menggunakan keymap “american english”
nah gambar dibawah ini ada proses ketika kalian klik tombol “continue” pada gambar diatas
nah pada tahapan ini kalian disuruh memasukan ip address kalian, disini saya memasukkan ip “192.168.100.100/24” masukkan dengan cidr nya seperti dibawah
masukkan gatewaynya seperti gambar dibawah, dalam tutorial ini saya menggunakan gateway “192.168.100.1” kalian bisa menyesuaikan dengan topologi network kalian
pada gambar dibawah kalian diminta memasukkan DNS, jika DNS kalian lebih dari 1 kalian bisa memasukkannya dengan spasi sebagai pembatas, disini kalian bisa memasukkan dns maksimal 3.
pada gambar dibawah kalian diminta untuk memasukkan root password
gambar dibawah akan muncul ketika kalian klik tombol “continue”
gambar dibawah kalian diminta memasukkan zona timezone untuk melakukan pengaturan waktu sesuai dengan domisili kalian, jika tidak ada pada pilihan dibawah, kalian bisa melakukan konfigurasi timezone nanti setelah proses installasi selesai, atau bisa juga dengan mengubah bahasa dan negara saat proses installasi.
setelah kalian klik button “continue” kalian akan ditampilkan pada gambar proses installasi dibawah
setelah proses installasi selesai dan server kalian reboot ulang kalian akan menemui tampilan seperti dibawah sebagai proses booting
nah dibawah ini tampilan setelah proses installasi selesai, kalian akan dibawa ke mode konsol hehe, silahkan login sebagai root dan password yang kalian set tadi saat proses installasi
setelah login sebagai root kalian akan ditampilkan ke mode “Text GUI”
untuk masuk ke mode konsol kalian bisa pilih no 3 “Jailbreak System” dan pilih “OK”
pilih “yes” untuk melanjutkan masuk ke konsol
gambar dibawah kalian sudah berhasil masuk ke mode konsol
lalu bagaimana setelah masuk ke mode konsol ingin kembali lagi ke mode “Text GUI” tinggal ketikkan command dibawah ini pada konsol kalian
alienvault-setup
nah untuk mendapatkan tampilan administration account seperti gambar dibawah ini kalian tinggal buka url “https://192.168.100.100” dan isikan form dibawah untuk membuat password user admin kalian
jika sudah melengkapi form pada gambar diatas dan kalian klik “Start using alienvault” kalian akan di redirect pada tampilan gambar dibawah, masukkan username “admin” dan password yang kalian buat pada form diatas
setelah kalian login ossim wizard akan tampil seperti dibawah, kalian harus mengikuti step ini atau jika tidak ossim dasborad web kalian akan selalu ada popup untuk mengikuti wizard seperti gambar dibawah, lumayan mengganggu “buat saya” hehe
jika interface kalian 2 maka tampilannya akan seperti dibawah, untuk eth1 disini saya kosongkan atau pilih “not in use”, namun jika kalian ingin menggunakan feature NIDS “network intrusion detection systems” kalian bisa memilih “Network Monitoring”, dan jika kalian ingin menggunakan interface eth1 untuk jalur log masuk baik dari rsyslog ataupun HIDS “host intrusion detection systems”. oh iya pada eth0 kok purpose nya “management” ya jadi management disini bersifat universal bisa untuk akses ke web gui, dan juga bisa dipakai untuk jalur keluar masuk log.
nah pada gambar dibawah kalian bisa melakukan scan asset atau bahasa awamnya server yang ingin kalian monitoring, “kalau salah benerin ya” :p hehe, jika tidak ada kalian bisa klik “next”
karena baru install dan tidak ada hids pada asset maka saya langsung klik next, namun kedepannya jika kalian memiliki asset yang terpasang hids kalian bisa memasukkannya di konfigurasi web gui
karena waktu saya install ossim ini tidak ada perangkat yang terhubung maka ossim mendetesi seperti gambar dibawah, tenang ini tidak apa-apa kok, kalian bisa lewati tahap ini “skip this step”
nah setelah itu kalian akan ditampilkan pada tampilan dibawah ini, yang mana ossim meminta bergabung untuk “join open threat exchange” salah satu kelebihannya adalah kalian bisa mendapatkan update ip public mana saja yang biasa digunakan untuk malware beraksi atau ip blacklist. jika tidak ingin join klik “skip this step”
pada tahapan gambar dibawah ini klik “finish” 😀
lalu akan muncul popup seperti dibawah, jika kalian ada yang ingin disetting ulang di wizard tadi kalian bisa pilih “configure more data source” namun jika kalian sudah selesai kalian bisa pilih “explore alienvault ossim”
nah setelah itu kalian akan di redirect ke dashboard dari ossim, kira-kira tampilannya seperti dibawah ini
oke sekian dulu tutorial ossim part1 dari sekolahlinux, semoga bermanfaat ya 🙂 doakan semoga part2 cepat dirilis juga hehe.
nice broh… thanks share nya yah….
bang, aplikasi ossim kan ada plugin snort, cara pengaktifkan snortnya gimanaya? mohon bantuannya