OSSIM adalah aplikasi SIEM yang berbasis opensource. OSSIM berberupa sebuah sistem operasi berbasis debian yang di dalamnya sudah terinstall berbagai aplikasi untuk keperluan network monitoring, HIDS, NIDS, dan lain-lain. Selain menggunakan aplikasi-aplikasi yang sudah ada, di dalam OSSIM ditambahkan modul-modul buatan tim pengembang, sehingga OSSIM menjadi aplikasi SIEM yang lebih powerful.
Screenshot OSSIM
Berikut ini adalah screenshot dari tampilan OSSIM:
Gambar direferensi dari: http://webscripts.softpedia.com/scriptScreenshots/OSSIM-Screenshots-56208.html, silahkan klik link tersebut untuk melihat lebih banyak screenshot. OSSIM hanya menyediakan interface berbasis web dan konsole. Jadi untuk menggunakan interface seperti di stas, anda harus membuka OSSIM menggunakan browser. Console interface juga tersedia, tapi biasanya digunakan hanya pada awal installasi. Anda juga bisa membuka console interface menggunakan Openssh (remote).
Tools yang sudah terinstall dalam OSSIM
Aplikasi-aplikasi untuk keperluan network monitoring yang sudah terinstall dalam OSSIM:
- Snort, untuk keperluan IDS.
- Nessus, sebagai Vulnerability Scanner.
- Nagios, untuk mengetahui suatu host/service bisa diakses atau tidak.
- Osiris dan Snare, aplikasi host IDS.
- Spade dan HW Aberant Behaviour, aplikasi untuk mendeteksi kejanggalan (anomali).
- Arpwatch, P0f, Pads, dan Fprobes, sebagai monitor passive.
- Nmap, aplikasi network scanner.
- Acid/Base, aplikasi analisa forensik.
- Program-program yang lebih kecil, misalnya Oinkmaster, PHPAcl, fw1logcheck, ScanMap3D, dll.
- OSVDB, aplikasi database untuk menyimpan vulnerability.
Deskripsi teknis OSSIM
Secara garis besar, cara kerja OSSIM adalah sebagai berikut:
- Aplikasi dan perangkat eksternal men-generate event (Sumber data eksternal).
- Aplikasi-aplikasi yang disertakan oleh AlienVault (developer OSSIM) juga menghasilkan event (Sensor dari AlienVault).
- Setelah event dikoleksi, OSSIM memeriksa korelasi event dengan event lain, event dengan sistem asal event, event dengan waktu kejadian, dan event dengan atribut-atribut lain.
- Kemudian server OSSIM melakukan risk assesment, dan menangani penyimpanan event-event dalam sebuah database SQL.
- Server dari AlienVault menyimpan event-event yang disertai signature digital dalam sebuah sistem penyimpanan yang massive (sangat besar), biasanya NAS atau SAN. Fitur ini hanya tersedia dalam edisi professional yang berbayar.
- Sebuah web interface menyediakan sistem reporting, metrics, dashboard, ticketing, pengelolaan event, dan kegiatan management event lainnya.
Referensi lebih lanjut
Jika ingin mempelajari OSSIM lebih lanjut, berikut ini adalah beberapa link yang bisa digunakan sebagai referensi:
- http://www.alienvault.com/wiki/doku.php
- https://sites.google.com/site/ossimnewbie/Home
- http://mikeahrendt.blogspot.com/2012/08/customizing-alienvaults-ossim-plugins.html
- http://resources.infosecinstitute.com/alienvault-ossim-review-open-source-siem/
Tweet
Bagus banget penjelasanannya. Makasih banget Mas ilmunya. :)
BalasHapus