Ossim part3 – create plugin for ossim

0
725

Halo sobat sekolahlinux, pada part3 kali ini saya akan membuat tutorial tentang bagaimana cara membuat plugin baru pada ossim, jadi jika kalian ingin menambahkan log dari aplikasi tertentu yang belum ada di ossim kalian bisa menggunakan tutorial ini, nanti bisa kalian sesuaikan.

berikut ini log ssh failed yang akan kita olah dengan plugin yang kita buat, lalu ditampilkan pada ossim

lalu kita akan memparsing log tersebut, silahkan kalian parsing di http://pythex.org/ atau di https://regex101.com/ namun biasa saya lebih sering parsing di http://pythex.org/ dan berikut ini regex parsing nya untuk log diatas.

masuk ke konsol ossim alienvault, lalu jailbreak, dalam menetukan plugin_id sebaiknya jangan sembarangan karena nanti malah bentrok jadi lebih baik kita lakukan cek dahulu ke database ossimnya bahwa plugin_id yang kita inginkan belum digunakan plugin lainnya, yaitu dengan cara mengetikkan perintah dibawah ini

lalu ketikkan perintah mysql ini (*ganti angka 90001 dengan angka yang kalian kehendaki)

jika hasilnya seperti dibawah berarti id tersebut bisa digunakan

sekarang buat file sekolahlinux.cfg pada direktori /etc/ossim/agent/plugins/

lalu isikan file sekolahlinux.cfg dengan rule dibawah ini

penjelasan script diatas:

  • regexp = regex untuk parsing log
  • translation = untuk mendklarasikan (status) menjadi angka yang mana angkanya nanti untuk dijadikan plugin_sid
  • location = untuk menentukan tempat dimana file log yang masuk yang akan kita parsing dan kita jadikan event

untuk value yang lainnya dari rule diatas kalian silahkan googling ya, karena jujur saya sendiri belum tau semuanya.

lalu buat file sekolahlinux.sql pada direktori yang sama untuk memudahkan kita.

jika sudah tambahkan rule dibawah ini

penjelasan script diatas:

  • sekolahlinux_login = nama datasource / plugin yang akan tampil di web
  • 90001 = adalah plugin_id, harus sama dengan di sekolahlinux.cfg
  • type = 1 = adalah type untuk plugin ini nanti kalian bisa lihat di dalam web gui
  • sid = 1 = adalah id untuk untuk rule linux login failed (harus sama dengan di plugin_sid sekolahlinux.cfg)
  • sid = 2 = adalah id untuk untuk rule linux login success (harus sama dengan di plugin_sid sekolahlinux.cfg)

jika sudah sekarang saatnya import data sekolahlinux.sql kedalam database ossim

selanjutnya restart ossim-server dan ossim-agent

lalu kita aktifkan plugin pada text gui alienvault ossim

lalu ikuti urutan dibawah ini untuk mengaktifkan plugin yang kita buat

  1. configure data sensor
  2. configure data source plugins
  3. (*)sekolahlinux >> klik OK
  4. klik BACK
  5. apply all changes >> klik OK

sekarang kita login ke web gui untuk melihat apakah plugin buatan kita berhasil atau tidak

lalu setelah login ikutin tahapan seperti gambar dibawah ini, jika kurang besar silahkan klik gambar dibawah.

a1

  1. pilih ANALYSIS
  2. pilih SECURITY EVENT (SIEM)
  3. pilih DATA SOURCE (sekolahlinux_login)
  4. hasil dari log yang diparsing oleh plugin yang baru saja kita buat

jika no.3 & no.4 tidak muncul coba lakukan action pada server client kalian agar tercipta lognya, karena data source dan event akan tampil jika ada log yang berhasil terparsing. jika belum juga coba restart server ossim kalian (*harusnya tidak perlu restart).

nah sampai sini berarti kalian sudah berhasil membuat plugin ossim sendiri untuk perangkat server kalian, selanjutnya silahkan dikembangkan ya, selamat mencoba 😀 semoga bermanfaat

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here