Embedded Files
Dalam proyek ini, akan digunakan fitur Wazuh sebagai SIEM dan XDR. Kemudian membuat agent Wazuh yang akan menghasilkan telemetri dan memicu Alert berdasarkan aturan yang telah dibuat. Setelahnya, di melakukan automasi menggunakan Shuffle SOAR untuk Incident Response, menghubungkan dengan VirusTotal untuk mendapatkan IOC, yang kemudian membuat alert di TheHive, yang nantinya akan dikirim melalui email.
Saya menggunakan GCP sebagai tempat pembuatan VM untuk Wazuh & TheHive server yang memiliki ip public dan internal. Serta penerapan Firewall GCP untuk mengizinkan port ingress 1514, 1515, 9000, 55000.
Wazuh adalah platform open-source untuk SIEM (Security Information and Event Management) dan XDR (Extended Detection and Response) yang digunakan untuk monitoring keamanan, deteksi ancaman, kepatuhan, dan respons insiden secara real-time.
Mengumpulkan dan menganalisis log dari endpoint (Windows 10 via Wazuh Agent) & Mendeteksi anomali dengan aturan bawaan ataupun kustom.
TheHive dirancang untuk mengelola dan menanggapi insiden keamanan dan akan menggunakannya sebagai alat Case Management.
Diinstal beberapa komponen seperti Java (menyediakan lingkungan runtime untuk theHive), Cassandra (menyimpan dan mengelola data insiden), Elasticsearch (memungkinkan pencarian dan pengambilan data insiden secara cepat dan real-time), dan TheHive itu sendiri.
Sedangkan untuk Wazuh Agent, saya menggunakan VMware dengan sistem operasi Windows 10 yang juga diinstall Sysmon.
Pada pengujian, saya akan menggunakan Mimikatz yang dijalankan pada Windows Agent. Mimikatz adalah tool open-source yang digunakan untuk mengekstrak kredensial Windows dari memori sistem.
Kemudian mengatur konfigurasi Wazuh agar mengambil semua log termasuk mimikatz dengan cara modifikasi file konfigurasi Filebeat & ossec.conf pada Wazuh Server.
Membuat index baru untuk menampung semua log pada Archives tanpa memperdulikan Wazuh memicu alert atau tidak.
Untuk percobaan, mimikatz akan dijalankan pada windows agent.
Pada bagian ini, mendeteksi nama asli dari file tersebut. Meskipun program tersebut dijalankan dengan nama berbeda program yang berbeda, rule pada wazuh dapat dibuat untuk mendeteksi file tersebut dengan nama aslinya.
Aturan/Rule tersebut dapat diatur pada local_rules.xml yang ada pada bagian Rules Files pada Wazuh Dashboard.
Jika Mimikatz di execute menggunakan nama yang lain, rule tersebut tetap terpicu karna original namenya terdeteksi.
Sampai disini, custom rule yang saya buat berjalan dengan baik.
Integrasi dengan Shuffle
Integrasi dengan Shuffle
Shuffle adalah SOAR (Security Orchestration, Automation, and Response) open-source yang digunakan untuk mengotomatiskan alur kerja dalam operasi keamanan siber. Dengan Shuffle, tim SOC (Security Operations Center) dapat menghubungkan berbagai alat keamanan, membuat playbook otomatis, dan mengurangi waktu respons terhadap insiden.
Bagian ini, akan dilakukan integrasi Wazuh dengan Shuffle untuk menyederhanakan penanganan Alert, memanfaatkan VirusTotal untuk Threat Intel, dan mengintegrasikan dengan TheHive untuk Case Management yang efisien.
Konfigurasi ini mengarahkan Alert pada Rule ID 100002 (Mimikatz Detected) ke Shuffle. Bagian ini berada pada /var/ossec/etc/ossec.conf
IOC (Indicator of Compromise)
IOC (Indicator of Compromise)
Pada bagian ini, akan dilakukan untuk memperkaya IoC dari Alert tersebut dengan menggunakan App seperti VirusTotal.
Karena dari hasil sebelumnya "hashes" memiliki banyak nilai (MD5, SHA1, SHA256..), saya akan menggunakan REGEX untuk mengambil nilai hash SHA256 saja
Sekarang nilai hash SHA256 telah didapat. Bagian ini akan diperlukan untuk integrasi dengan VirusTotal.
TheHive
TheHive
TheHive adalah platform open-source Security Incident Response Platform (SIRP) yang digunakan oleh tim SOC (Security Operations Center) dan CSIRT (Computer Security Incident Response Team) untuk mengelola dan merespons insiden keamanan secara efisien.
TheHive dirancang untuk menganalisis, mengelola, dan mengoordinasikan investigasi insiden dengan fitur kolaboratif, otomatisasi, dan integrasi threat intelligence.
Membuat organisasi baru untuk menerima Alerts dan informasi dari Shuffle
Membuat 2 User Baru
rwx4m@test.com: mengakses organisasi untuk Monitor Alerts
shuffle@test.com: akun Service yang menyediakan API key untuk autentikasi di Shuffle
* Pada akun Service sangat krusial untuk menerapkan prinsip Least Privilege*
Integrasi dengan Email
Integrasi dengan Email
Bagian ini akan mengintegrasi dengan Email untuk mengirim informasi ke SOC Analyst
Disini saya menggunakan email temporary sebagai bahan percobaan 😅
SELESAI 🎉
SELESAI 🎉
Google Sites
Report abuse