CyberOps Associate Modul 26 Evaluating Alerts

Module 26: Evaluating Alerts
CyberOps Associate v1.0

Modul 26: Evaluasi Peringatan
CyberOps Associate v1.0

3
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Tujuan Modul
Judul Modul: Mengevaluasi Peringatan
Tujuan Modul: Jelaskan proses mengevaluasi Peringatan
Judul Topik Tujuan Topik
Sumber Peringatan Identifikasi struktur peringatan.
Tinjauan Evaluasi Waspada Jelaskan bagaimana peringatan diklasifikasikan.

4
26.1 Sumber Peringatan (Alert)

5
Mengevaluasi Peringatan
Security Onion
• Security Onion adalah rangkaian tool Pemantauan Keamanan Jaringan atau Network
Security Monitoring (NSM) open source yang berjalan pada distribusi Linux Ubuntu.
• Security Onion menyediakan tiga fungsi inti untuk analis keamanan siber seperti
penangkapan paket lengkap dan tipe data, sistem deteksi intrusi berbasis jaringan dan
berbasis host, dan alat analisis peringatan.
• Security Onion dapat di instal sebagai tool mandiri atau sebagai platform sensor dan server.
• Beberapa komponen Security Onion dimiliki dan dikelola oleh perusahaan, seperti Cisco dan
Riverbend Technologies, tetapi tersedia sebagai open source.

6
Alat Deteksi untuk Mengumpulkan Data Peringatan
• Security Onion mengandung
banyak komponen. Ini adalah
lingkungan terintegrasi yang
dirancang untuk
menyederhanakan penerapan
solusi NSM yang
komprehensif.
• Gambar tersebut
mengilustrasikan cara
komponen Security Onion
bekerja sama.
Arsitektur Keamanan Bawang

7
Alat Deteksi untuk Mengumpulkan Data Peringatan (Lanjutan)
Tabel berikut mencantumkan deteksi Security Onion:
Komponen Deskripsi
CapME Ini adalah aplikasi web yang memungkinkan melihat transkrip pcap yang dirender dengan
alat tcpflow atau Zeek.
Snort Ini adalah Sistem Deteksi Intrusi Jaringan atau Network Intrusion Detection System (NIDS).
Ini adalah sumber penting data peringatan yang di indeks di alat analisis Sguil.
Zeek Sebelumnya dikenal sebagai Bro. Ini adalah NIDS yang menggunakan lebih banyak
pendekatan berbasis perilaku untuk deteksi intrusi.
OSSEC Ini adalah sistem deteksi intrusi berbasis host (HIDS) yang diintegrasikan ke dalam Security
Onion.
Wazuh Ini adalah solusi berfitur lengkap yang menyediakan spektrum luas mekanisme
perlindungan titik akhir termasuk analisis logfile host, pemantauan integritas file, deteksi
kerentanan, penilaian konfigurasi, dan respons insiden.
Suricata Ini adalah NIDS yang menggunakan pendekatan berbasis signature. Ini juga dapat
digunakan untuk pencegahan intrusi inline.

8
Alat Analisis
Security Onion mengintegrasikan berbagai jenis data dan log Intrusion Detection System (IDS) ini
ke dalam satu platform melalui alat berikut:
• Sguil:Ini menyediakan konsol tingkat tinggi untuk menyelidiki peringatan keamanan dari
berbagai sumber. Sguil berfungsi sebagai titik awal dalam penyelidikan peringatan keamanan.
Banyak sumber data tersedia dengan melakukan pivot langsung dari Sguil ke alat lain.
• Kibana: Ini adalah antarmuka dasbor interaktif ke data Elasticsearch. Ini memungkinkan kueri
data NSM dan memberikan visualisasi data yang fleksibel. Dimungkinkan untuk berputar dari
Sguil langsung ke Kibana untuk melihat tampilan kontekstual.
• Wireshark:Ini adalah aplikasi penangkap paket yang diintegrasikan ke dalam Security Onion.
Ini dapat dibuka langsung dari alat lain dan menampilkan tangkapan paket lengkap yang
relevan dengan analisis.
• Zeek: Ini adalah penganalisis lalu lintas jaringan yang berfungsi sebagai monitor keamanan. Ini
memeriksa semua lalu lintas di segmen jaringan dan memungkinkan analisis data yang
mendalam. Mulai dari Sguil hingga Zeek menyediakan akses ke log transaksi yang sangat
akurat, konten file, dan output yang dapat disesuaikan kebutuhan.

9
Generasi Peringatan
• Peringatan keamanan adalah pesan notifikasi yang dibuat oleh alat NSM, sistem, dan
perangkat keamanan.Peringatan bisa datang dalam berbagai bentuk tergantung pada
sumbernya.
• Di Security Onion, Sguil menyediakan konsol yang mengintegrasikan peringatan dari berbagai
sumber ke dalam antrean yang diberi stempel waktu.
• Seorang analis keamanan siber bekerja melalui antrian keamanan yang menyelidiki,
mengklasifikasikan, meningkatkan, atau menghentikan peringatan.
• Peringatan umumnya akan mencakup informasi lima tupel, serta timestamps dan informasi
yang mengidentifikasi perangkat atau sistem mana yang menghasilkan peringatan.
• SrcIP - IP Address sumber untuk suatu event.
• SPort – Port Layer 4 sumber (lokal) untuk suatu event.
• DstIP - IP tujuan untuk suatu event.
• DPort - Port Layer 4 tujuan untuk suatu event.
• Pr - Nomor protokol IP untuk event tersebut.

10
Pembuatan Peringatan (Lanjutan)
Gambar ini menunjukkan jendela aplikasi Sguil dengan antrian peringatan yang menunggu untuk diselidiki di
bagian atas antarmuka. Bidang yang tersedia untuk real-time events adalah sebagai berikut:
• ST - Ini adalah Status dari event. Event ini
diberi kode warna berdasarkan prioritas
berdasarkan kategori peringatan. Ada empat
tingkat prioritas: sangat rendah, rendah,
sedang, dan tinggi (very low, low, medium, and
high) dan warnanya berkisar dari kuning muda
hingga merah seiring dengan peningkatan
prioritas.
• CNT- Ini adalah hitungan (Count) berapa kali
peristiwa terdeteksi untuk sumber dan alamat
IP tujuan yang sama. Sistem telah
menentukan bahwa rangkaian peristiwa ini
berkorelasi.
• Sensor- Ini adalah agen yang melaporkan
kejadian tersebut. Sensor yang tersedia dan
nomor pengenalnya dapat ditemukan di tab
Status Agent dari panel yang muncul di bawah
jendela events di sebelah kiri.
Jendela Sguil

11
Pembuatan Peringatan (Lanjutan)
• Alert ID - Nomor dua bagian ini
mewakili sensor yang melaporkan
masalah dan nomor kejadian untuk
sensor tersebut.
• Date/Time - Ini adalah stempel waktu
(timestamp) untuk acara tersebut.
Dalam kasus peristiwa berkorelasi, itu
adalah stempel waktu untuk event
pertama.
• Event Message - Ini adalah teks
pengenal untuk acara tersebut. Ini
dikonfigurasi dalam aturan yang
memicu peringatan. Aturan terkait dapat
dilihat di panel kanan, tepat di atas data
paket. Untuk menampilkan aturan,
checkbox Show Rule harus dipilih. Jendela Sguil

12
Aturan dan Peringatan
• Alerts atau peringatan dapat berasal
dari berbagai sumber:
• NIDS - Snort, Zeek, dan Suricata
• HIDS - OSSEC, Wazuh
• Manajemen dan Pemantauan Aset -
Passive Asset Detection System
(PADS)
• Transaksi HTTP, DNS, dan TCP -
Direkam oleh Zeek dan pcaps
• Syslog messages - Berbagai sumber
• Informasi yang ditemukan dalam peringatan yang ditampilkan di Sguil akan berbeda dalam
format pesan karena berasal dari sumber yang berbeda.
• Peringatan Sguil pada gambar dipicu oleh aturan yang dikonfigurasi di Snort.

13
Struktur Aturan Snort (Snort Rule)
Aturan snort terdiri dari dua bagian, seperti yang ditunjukkan pada gambar: header aturan dan
opsi aturan. Rule Location terkadang ditambahkan oleh Sguil.
Komponen Contoh (dipersingkat…) Penjelasan
rule header alert ip any any -> any any
Berisi tindakan yang akan diambil, alamat dan pelabuhan sumber
dan tujuan, serta arah arus lalu lintas
rule options
(msg:”GPL
ATTACK_RESPONSE ID
CHECK RETURNED
ROOT”;…)
Termasuk pesan yang akan ditampilkan, detail konten paket, jenis
peringatan, ID sumber, dan detail tambahan, seperti referensi
untuk aturan atau kerentanan
rule location
/nsm/server_data/securityonio
n/rules/…
Ditambahkan oleh Sguil untuk menunjukkan lokasi aturan dalam
struktur file Security Onion dan dalam file aturan yang ditentukan

14
Struktur Aturan Snort (Lanjutan)
Header Aturan (The Rule Header)
Header aturan berisi informasi tindakan, protokol, pengalamatan, dan port, seperti yang ditunjukkan
pada gambar. Struktur bagian header konsisten di antara aturan peringatan Snort. Snort dapat
dikonfigurasi untuk menggunakan variabel untuk mewakili alamat IP internal dan eksternal.
Komponen Penjelasan
alert Tindakan yang harus diambil adalah mengeluarkan peringatan, tindakan lainnya
adalah log and pass
ip Protokol
any any Sumber yang ditentukan adalah alamat IP dan port Layer 4 apa pun
-> Arah arus adalah dari sumber ke tujuan
any any Tujuan yang ditentukan adalah alamat IP dan port Layer 4 apa pun

15
Opsi Aturan (The Rule Options)
• Struktur bagian opsi aturan adalah variabel. Ini adalah bagian dari aturan yang diapit tanda
kurung, seperti yang ditunjukkan pada gambar. Ini berisi pesan teks yang mengidentifikasi
peringatan. Ini juga berisi metadata tentang peringatan, seperti URL.
• Pesan aturan snort mungkin menyertakan sumber aturan tersebut. Tiga sumber umum untuk
aturan Snort adalah:
• GPL- Aturan Snort yang lebih lama yang dibuat oleh Sourcefire dan didistribusikan di
bawah GPLv2. Aturan main GPL tidak bersertifikat Cisco Talos. Kumpulan aturan GPL
dapat diunduh dari situs web Snort, dan itu termasuk ada di Security Onion.
• ET- Aturan Snort dari Emerging Threats yang merupakan titik pengumpulan aturan Snort
dari berbagai sumber. Set aturan ET berisi aturan dari berbagai kategori. Satu set aturan
ET disertakan dengan Security Onion. Emerging Threats adalah divisi dari Proofpoint, Inc.
• VRT- Aturan ini segera tersedia untuk pelanggan dan dirilis ke pengguna terdaftar 30 hari
setelah dibuat, dengan beberapa batasan.GPL, ET, dan VRT sekarang dikembangkan dan
dikelola oleh Cisco Talos.
NB: Cisco Talos Intelligence Group adalah salah satu tim intelijen ancaman komersial terbesar di dunia.

16
Komponen Penjelasan
msg: Teks yang mendeskripsikan peringatan.
content: Mengacu pada isi paket. Dalam hal ini, peringatan akan dikirim jika teks literal "uid = 0 (root)"
muncul di mana saja dalam data paket. Nilai yang menentukan lokasi teks dapat disediakan.
reference: Ini tidak ditunjukkan pada gambar. Ini sering kali berupa tautan ke URL yang memberikan
informasi lebih lanjut tentang aturan tersebut. Dalam hal ini, sid di-hyperlink ke sumber aturan di
internet.
classtype: Kategori untuk serangan itu. Snort menyertakan sekumpulan kategori default yang memiliki satu
dari empat nilai prioritas.
sid: Pengenal numerik unik untuk aturan tersebut.
rev: Revisi aturan yang diwakili oleh sid.

17
Mengevaluasi Lansiran
Lab - Aturan Snort dan Firewall
Di lab ini, Anda akan menyelesaikan tujuan berikut:
• Lakukan pemantauan langsung dari IDS dan Event.
• Konfigurasikan aturan firewall khusus Anda sendiri untuk menghentikan host internal
menghubungi malware yang di hosting di server.
• Buat paket berbahaya dan luncurkan terhadap target internal.
• Buat aturan IDS yang disesuaikan untuk mendeteksi serangan yang disesuaikan dan
mengeluarkan peringatan berdasarkan itu.

18
26.2 Tinjauan Evaluasi Peringatan

19
Tinjauan Evaluasi Peringatan
Perlunya Evaluasi Peringatan
• Lanskap ancaman terus berubah seiring ditemukannya kerentanan dan ancaman baru. Karena
kebutuhan pengguna dan organisasi berubah, begitu pula permukaan serangan.
• Pelaku ancaman telah belajar bagaimana dengan cepat memvariasikan fitur eksploitasi mereka
untuk menghindari deteksi.
• Lebih baik memiliki peringatan yang terkadang
dihasilkan oleh lalu lintas yang tidak berbahaya,
daripada memiliki aturan yang melewatkan lalu
lintas berbahaya.
• Diperlukan analis keamanan siber yang terampil
untuk menyelidiki peringatan dan menentukan
apakah eksploitasi benar-benar terjadi.
• Analis Keamanan Siber Tingkat 1 akan bekerja
melalui antrian peringatan di alat seperti Sguil,
Zeek, Wireshark, dan Kibana (terus bergantian)
untuk memverifikasi bahwa peringatan mewakili
eksploitasi yang sebenarnya.
Alat Utama untuk Analis
Keamanan Siber Tingkat 1

20
• Insiden keamanan diklasifikasikan menggunakan skema yang dipinjam dari istilah diagnosis
medis. Skema klasifikasi ini digunakan untuk memandu tindakan dan mengevaluasi prosedur
diagnosis. Perhatiannya adalah bahwa diagnosis bisa akurat, atau benar, atau tidak akurat,
atau salah.
• Dalam analisis keamanan jaringan, analis keamanan siber diberi peringatan. Analis
keamanan siber perlu menentukan apakah diagnosis ini benar.
• Peringatan dapat diklasifikasikan sebagai berikut:
• True Positive : Peringatan telah diverifikasi sebagai insiden keamanan yang sebenarnya.
• False Positive : Peringatan tidak menunjukkan insiden keamanan yang sebenarnya.
Aktivitas jinak (benign activity) yang menghasilkan false positive terkadang disebut sebagai
pemicu jinak (benign trigger).
• Situasi alternatif adalah peringatan tidak dibuat (generated). Tidak adanya peringatan dapat
diklasifikasikan sebagai:
• True Negative : Tidak ada insiden keamanan yang terjadi. Aktivitas itu tidak berbahaya.
• False Negative : Terjadi insiden yang tidak terdeteksi.

21
Mengevaluasi Peringatan (Lanjutan)
Saat peringatan dikeluarkan, itu akan menerima salah satu dari empat klasifikasi yang mungkin:
• True positives adalah jenis peringatan yang diinginkan. Artinya, aturan yang menghasilkan
peringatan telah bekerja dengan benar.
• False positives tidak diinginkan. Meskipun mereka tidak menunjukkan bahwa eksploitasi yang tidak
terdeteksi telah terjadi, hal itu mahal karena analis keamanan siber harus menyelidiki peringatan
palsu.
• True negatives diinginkan. Mereka menunjukkan bahwa lalu lintas normal yang jinak diabaikan
dengan benar, dan peringatan yang salah tidak diberikan.
• False negatives berbahaya. Mereka menunjukkan bahwa eksploitasi tidak terdeteksi oleh sistem
keamanan yang ada.
Benar Salah
Positif (Ada peringatan) Insiden terjadi Tidak ada insiden yang terjadi
Negatif (Tidak ada peringatan) Tidak ada insiden yang terjadi Insiden terjadi
catatan: Event ”True" diinginkan. Event ”False" tidak diinginkan dan berpotensi berbahaya.

22
Mengevaluasi Peringatan (Lanjutan)
• Peristiwa jinak (Benign events) adalah peristiwa yang seharusnya tidak memicu peringatan.
Peristiwa jinak berlebih menunjukkan bahwa beberapa aturan atau detektor lain perlu
diperbaiki atau dihilangkan.
• Ketika true positives dicurigai, seorang analis keamanan siber diharuskan untuk
meningkatkan kewaspadaan ke tingkat yang lebih tinggi untuk penyelidikan. Penyelidik dapat
melanjutkan penyelidikan untuk mengkonfirmasi insiden tersebut dan mengidentifikasi potensi
kerusakan yang mungkin telah terjadi.
• Seorang analis keamanan siber mungkin juga bertanggung jawab untuk memberi tahu
personel keamanan bahwa false positives terjadi selama waktu analisis keamanan siber
terkena dampak serius.
• False negatives dapat ditemukan dengan baik setelah eksploitasi terjadi. Hal Ini dapat terjadi
saat retrospective security analysis (RSA). RSA dapat terjadi ketika aturan baru diperoleh atau
threat intelligence lainnya diterapkan ke Arsip data keamanan jaringan.
• Untuk alasan ini, penting untuk memantau threat intelligence untuk mempelajari kerentanan
dan eksploitasi baru, juga untuk mengevaluasi kemungkinan bahwa jaringan rentan terhadap
threat intelligence pada suatu waktu di masa lalu.

23
Analisis Deterministik dan Analisis Probabilistik
• Analisis deterministik mengevaluasi risiko berdasarkan apa yang diketahui tentang kerentanan.
Jenis analisis risiko ini hanya dapat menggambarkan kasus terburuk.
• Analisis probabilistik memperkirakan potensi keberhasilan eksploitasi dengan memperkirakan
kemungkinan bahwa jika satu langkah dalam eksploitasi berhasil diselesaikan, langkah
berikutnya juga akan berhasil.
• Dalam analisis deterministik, semua informasi untuk menyelesaikan eksploitasi diasumsikan
sudah diketahui.
• Dalam analisis probabilistik, diasumsikan bahwa nomor port yang akan digunakan hanya dapat
diprediksi dengan tingkat kepercayaan tertentu.
• Kedua pendekatan tersebut dirangkum di bawah ini.
• Analisis Deterministik- Agar eksploitasi berhasil, semua langkah sebelumnya dalam
eksploitasi juga harus berhasil. Analis keamanan siber mengetahui langkah-langkah untuk
eksploitasi yang berhasil.
• Analisis Probabilistik - Teknik statistik digunakan untuk menentukan probabilitas bahwa
eksploitasi yang berhasil akan terjadi berdasarkan kemungkinan bahwa setiap langkah dalam
eksploitasi akan berhasil.

24
26.3 Ringkasan Evaluasi
Peringatan

25
Mengevaluasi Ringkasan Peringatan
Apa yang Saya Pelajari dalam Modul ini?
• Security Onion adalah rangkaian alat Network Security Monitoring (NSM) open source yang
berjalan pada distribusi Linux Ubuntu.
• Alat Security Onion menyediakan tiga fungsi inti untuk analis keamanan siber: penangkapan
paket lengkap dan tipe data; sistem deteksi intrusi berbasis jaringan dan berbasis host; dan
alat analis peringatan.
• Security Onion mengintegrasikan data dan log IDS ke dalam satu platform melalui alat-alat
berikut:
• Sguil - berfungsi sebagai starting point dalam penyelidikan peringatan keamanan.
• Kibana - interactive dashboard interface ke data Elasticsearch.
• Wireshark - Aplikasi capture paket yang sudah ada di dalam paket Security Onion.
• Zeek - penganalisis lalu lintas jaringan yang berfungsi sebagai monitoring keamanan.

26
Mengevaluasi Ringkasan Peringatan
Apa yang Saya Pelajari dalam Modul ini?
Snort adalah Network Intrusion Detection System (NIDS). Snort adalah tool penting untuk data
alert yang di indeks di Sguil analysis tool.
• Peringatan dapat diklasifikasikan sebagai True Positive (Peringatan telah diverifikasi
sebagai insiden keamanan yang sebenarnya) atau False Positive (Peringatan tidak
menunjukkan insiden keamanan yang sebenarnya).
• Situasi alternatif adalah peringatan tidak dibuat. Tidak adanya peringatan dapat
diklasifikasikan sebagai: True Negative (Tidak ada insiden keamanan yang terjadi. Aktivitas
ini tidak berbahaya.) Dan False Negative (Terjadi insiden yang tidak terdeteksi).
• Deterministic analysis mengevaluasi risiko berdasarkan apa yang diketahui tentang
kerentanan.
• Probabilistic analysis memperkirakan potensi keberhasilan eksploitasi dengan
memperkirakan kemungkinan bahwa jika satu langkah dalam eksploitasi berhasil
diselesaikan, maka langkah berikutnya juga akan berhasil.

CyberOps Associate Modul 26 Evaluating Alerts

CyberOps Associate Modul 26 Evaluating Alerts

More Related Content

What's hot (20)

Recently uploaded (20)

CyberOps Associate Modul 26 Evaluating Alerts