Security Information and Event Management) adalah sistem informasi keamanan terpusat yang mengoleksi informasi dan kejadian/event security dari jaringan. Semua informasi dan event diolah dan ditampilkan dalam bentuk laporan, graph, dll. Dengan kata lain, SIEM adalah sistem informasi yang mencakup fungsi agregasi data, korelasi data, deteksi dan alert, reporting, serta penyimpanan data (misal: untuk kebutuhan forensik).
Salah satu SIEM yang terkenal dan gratis (open source pula) adalah AlienVault (AV). Karena berlandaskan (halahhh) open source, program, modul, tools di AV juga open source. Katakan saja, untuk network scan menggunakan nmap, deteksi OS menggunakan p0f, deteksi service menggunakan pads. Semua fungsi itu kemudian digabung menjadi satu kesatuan sistem informasi untuk monitoring dan deteksi event pada suatu segmen jaringan.
AV terdiri dari 3 komponen, yaitu LOGGER untuk storage penyimpanan data, SENSOR untuk sniff paket, mengeksekusi plugin tertentu (nmap, nessus, p0f), untuk menangkap syslog, dan yang terakhir SIEM itu sendiri untuk memproses informasi keamanan dan event secara realtime.
Karena saya susah sekali menulis yang baik dan benar (bahasa Indonesia saya buruk, bahasa Inggris juga ugly, haha). Jadi arsitekturnya AV itu seperti ini:
Kita mulai dari si sensor yak… Sensor punya interface yang -tentu saja- mode promiscuous. Seluruh perangkat atau komputer yang ada di jaringan mengirim eventnya ke plugin yang ada di sensor. Karena format raw data yang dikirim dari setiap device bisa berbeda-beda, plugin khusus akan memparsing informasi-informasi dari raw data, ekstraksi informasi, dengan cara menggunakan regex (karena raw data event ga representatif di mata :P). Selain itu, Sensor juga bisa melakukan monitoring network (menggunakan ntop), vulnerability assessment (menggunakan nessus&openVAS), mendeteksi intrusi (menggunakan Snort) dan mendeteksi anomali (menggunakan Spade, p0f, pads, arpwatch, RRD ab behaviour).
Interface di sensor itu sendiri dapat dikatakan sebagai interface paling sibuk sedunia. Apalagi kalau network yang di manage olehnya sudah besar haha. Bisa diliat sendiri traffic load di interface AV ini:
Lihat incoming dari gambar diatas.. rata-rata 26.550 MB per sekon mengalir ke interface tersebut. Maka dari itu, biasanya dibutuhkan NIC yang dedicated (external, bukan yang onboard bahkan konon recommended yang merk Int*l biar tahan terjangan paket segede itu perdetiknya hihih)
Oke kembali ke gambar arsitektur yang di atas… sensor akan memberikan informasi dan event ke framework untuk selanjutnya ditampilkan di front-end berbasis web. Seperti ini tampilannya..
Yang terakhir, logger.. tugasnya menyimpan semua data yang ada untuk kebutuhan forensik atau cek korelasi dsb. Logger menyimpan data tak lupa juga menggunakan digital signature, biar keabsahan data yang disimpan dipercaya integritasnya. Sehingga pas suatu saat melakukan forensik, dapat dipastikan data yang digunakan untuk forensik adalah data sah.
Segitu dulu seputar SIEM, sangat menarik memang… Mempersatukan tools-tools security opensource dalam satu kesatuan sistem. Sangat layak dicoba dibuat KW-nya bagi mahasiswa yang sedang mencari judul skripsi hahah… Mungkin salah satu contoh prototype adalah MiniSIEM buatan saya hehe..
Selamat Siang, saya mahasiswa yang sedang menyusun skripsi terkait dengan SIEM, apakah mas ada bahan yang bisa di shared ke saya untuk bahan masukan, terutama terkait masa sebelum implementasi dan setelah nya 🙂 mohon mabtuannya 🙂
selamat siang mas.. utk bahan2 siem, bisa coba aja langsung hands-on distro linux alienvault yg didesain memang untuk SIEM. trus ini juga contoh ‘SIEM’ mini yg saya buat: blog.tibandung.com/minisiem-sistem-informasi-keamanan-komputer-pribadi/
maaf mas mau nanya nih, jadi SIEM tuh termasuk IDS ya? lebih handal mana sama snort? maaf bila ada yang salah, saya baru belajar. hehe. thanks…
betul, komponen dari SIEM itu salah satunya IDS. Selain itu, ada juga Vulnerability Scan, Reporting, Syslog gathering, dsb. Snort hanya salah satu contoh produk IDS. Jadi lebih handal mana sama snort? Saya rasa itu bukan sesuatu untuk diperbandingkan karena Snort itu salah satu komponen SIEM, ya mas… sehingga pertanyaan mas jadi seperti begini: “bagusan mana mobil ferrari sama ban mobil bridgestone?”
permisi mas saya mahasiswa s2 yg sekarang lg thesis saya mengambil judul ttg event management ITIL v3. bisa kah dishare ttg event management dan apakah matriks ttg event management. untuk lbih lanjutnya apakah ada email yang bisa sya hub.
tks
mas mau tanya, ini alientvault itu di pake di windows bisa?
kebetulan judul TA saya ttg SIEM mohon bimbingannya ya 🙂