Pemanfaatan NIDS Dengan ELK Stack Tentang Penjelasan Data Informasi & Visualisasi

Pengertian Network-based Intrusion Detection System (NIDS)

Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan.

Komponen Elastic Stack

• Beats merupakan shipping agent yang memiliki fungsi untuk mengirimkan data log ke dalam Logstash. Contohnya (Filebeat, Winlogbeat, Packetbeat).
• Elasticsearch menyediakan mesin pencari teks yang terdistribusi dan multitenant dengan antarmuka web Dasbor HTTP (Kibana). Selanjutnya, data akan ditampilkan, diambil, dan disimpan dengan format JSON.
• Logstash menyediakan pipelining real-time yang dapat mengumpulkan data.
• Kibana adalah alat visualisasi data open source untuk Elasticsearch. Dalam Kibana tersedia antarmuka web dashboard.

Cara Membuat Visualisasi Data Pada kibana

Sebagai cara untuk mempermudah analis untuk memahami dan melakukan analisis pada log NIDS, maka diperlukan suatu metode untuk melakukan pengolahan data log yang ada pada NIDS. Salah satu metode yang dapat dimanfaatkan adalah dengan merubah data log yang awalnya berupa teks biasa menjadi visualisasi berupa grafik maupun diagram yang disajikan dalam sebuah dashboard. Hal tersebut dapat dilakukan dengan menggunakan Kibana sebagai salah satu media visualisasi data dari NIDS. Adapun tahapan-tahapan yang dapat dilakukan untuk membuat visualisasi:

Visualisasi Pada Kibana

• Tambahkan data dan buat dasboredit
• Tambahkan data log web sampel, lalu buat dan siapkan dasbor.
1. Di halaman beranda, klik Coba data sampel.
2. Klik kumpulan data sampel lainnya.
3. Di kartu Contoh log web, klik Tambahkan data.
• Buat dasbor tempat Anda akan menampilkan panel visualisasi.
1. Buka menu utama, lalu klik Dasbor.
2. Klik Buat dasbor.
3. Setel filter waktu ke 90 hari terakhir.
• Buka editor visualisasi dan biasakan diri dengan dataedit
• Buka editor visualisasi, lalu pastikan bidang yang benar muncul.
1. Di dasbor, klik Buat visualisasi.
2. Pastikan tampilan data Kibana Sample Data Logs muncul.
• To create the visualizations in this tutorial, you’ll use the following fields:
• Records
• timestamp
• bytes
• clientip
• referer.keyword
• To see the most frequent values in a field, hover over the field name, then click i.

Pilih bidang yang ingin Anda analisis, seperti clientip. Untuk menganalisis bidang clientip saja, gunakan visualisasi Metrik untuk menampilkan bidang sebagai angka.

Satu-satunya fungsi angka yang dapat Anda gunakan dengan clientip adalah Hitungan unik, juga disebut sebagai kardinalitas, yang memperkirakan jumlah nilai unik.

1. Buka tarik-turun Jenis visualisasi, lalu pilih Metrik.
2. Dari daftar Bidang yang tersedia, seret clientip ke panel ruang kerja atau lapisan.

Pada panel layer, Unique count of clientip muncul karena editor secara otomatis menerapkan fungsi Unique count ke bidang clientip. Hitungan unik adalah satu-satunya fungsi numerik yang berfungsi dengan alamat IP.

3. Di panel layer, klik Unique count of clientip.
• Di bidang Nama, masukkan Pengunjung unik.
• Klik Tutup.
4. Klik Simpan dan kembali.

[Tanpa Judul] muncul di header panel visualisasi. Karena visualisasi memiliki label Pengunjung uniknya sendiri, Anda tidak perlu menambahkan judul panel.

Log Activity di Dalam Kibana

Pada Kibana terdapat 3 log activity yaitu

1. Logs Stream
2. Logs Anomalies
3. Logs Categories

Logs Stream

Pada bagian halaman logs stream ini berfungsi untuk melakukan pemantauan semua aktivitas log yang mengalir dari server, mesin virtual, dan kontainer secara real time. kemudian untuk melihat tayangan pencatatan aktivitas dapat dilakukan dengan menekan tombol stream live dan dashboard akan memulai menampilkan rangkaian logs messages secara realtime. Kemudian untuk melihat historical logs dari rentang waktu yang ditentukan dapat menekan tombol stop streaming.

Log Anomalies

Pada bagian halaman log anomalies berfungsi untuk mendeteksi dan memeriksa anomali serangan pada log dan log partition di mana tempat terjadinya anomali. Yang berarti memungkinkan user untuk dapat melihat dan mendeteksi perilaku anomali yang terjadi tanpa ada campur tangan manusia sehingga tidak perlu lagi mengambil sampel data log secara manual,menghitung tarif, dan menentukan apakah tarif diharapkan.

Logs Categories

Pada bagian halaman log categories berfungsi untuk dapat mengklasifikasikan dan membuat log activity menjadi lebih terstruktur. kemudian pada bagian halaman log categories memungkinkan user mengidentifikasi pola dalam peristiwa log dengan cepat. Alih-alih mengidentifikasi log serupa secara manual, tampilan kategorisasi log mencantumkan peristiwa log yang telah dikelompokkan berdasarkan pesan dan formatnya sehingga Anda dapat mengambil tindakan lebih cepat.

Event Overview Pada Kibana

Ringkasan Data

Data pada Dashboard Kibana merupakan solusi terbaik untuk menambahkannya ke Elastic Stack dengan menggunakan salah satu aplikasi yang terintegrasi, Data merupakan aset pra-paket yang tersedia untuk beragam layanan dan platform. Dengan integrasi, pengguna dapat menambahkan pemantauan log, pemantauan metrik dan melindungi sistem dari ancaman serangan.

Saat integrasi tersedia untuk Elastic Agent dan Beats, tampilan Integrasi secara default mengarah ke integrasi Elastic Agent, jika tersedia secara umum (GA) atau Generally Available. Untuk menampilkan integrasi Beats, gunakan filter yang terletak dibawah navigasi.