Setelah pada artikel SIEM Stack : Instalasi dan Integrasi Graylog dengan Wazuh – BayuSky’s Virtual Labs (bayuskylabs.com) saya berhasil mnengirimkan alert ke dalam Graylog. Namun pesan yang diterima Graylog belum ter-ekstrak ke dalam pasangan key : value dan masih merupakan raw message yang masih sulit dibaca maupun dikelompokkan, seperti yang terlihat pada gambar berikut.
Oleh karena itu dibutuhkan extractor agar dapat mengubah raw message menjadi key:value yang mudah dibaca.
Jika dilihat, raw message yang dikirimkan oleh Wazuh berupa pesan dalam format JSON, sehingga JSON extractor pada Graylog merupakan pilihan yang tepat untuk mencerna raw message dari Wazuh.
Klik pada bagian message, lalu pilih create extractor.
Pilih JSON untuk tipe ekstraktor.
Ubah Key separator agar ekstraktor dapat mendeteksi pasangan key dan value.
Klik Try lalu lihat perubahan pada isi message
Berikan nama untuk extractor, lalu klik Create extractor
Saya menggunakan nama ini karena saya menggunakan fluent-bit untuk mengirim raw message dengan menggunakan JSON format.
Login SSH untuk meng-generate alert, lalu klik pada Received message, sekarang tampilannya seperti ini.
Lebih mudah untuk dibaca karena jelas antara key dan value.
Langkah selanjutnya buat index untuk Wazuh alert supaya log ini mudah dikenali, dikelompokkan, dan dicari. Pilih System > Indices.
Klik Create index set
Masukkan ketiga parameter ini, paramater penting adalah index prefix, harus unik.
Select rotation strategy, di sini saya menggunakan parameter Index Time, dan akan dirotasi setiap minggu (7 hari).
Pada index retention configuration saya menggunakan strategy delete index jika jumlah indices sudah mencapai 20 index lalu klik Create index.
Buat stream untuk melakukan routing messages supaya bisa masuk ke index yang sudah dirancang. Klik Streams > Create stream.
Lalu buat stream yang dipasangkan dengan index yang telah dibuat, dan message dikeluarkan dari Default Stream, lalu klik Create stream.
Seperti ini tampilan Stream untuk Wazuh Alert
Langkah selanjutnya adalah memberikan ciri pada Input Wazuh Alert. Kembali ke Inputs dan pada Wazuh_input pilih More actions, dan klik add static field. Static field digunakan untuk menandai Received Message, sehingga ada value yang bisa digunakan untuk filtering message.
Buat pasangan key dan value dengan parameter log_type:wazuh
Pengaturan ini akan menambahkan parameter log_type: wazuh
kepada semua pesan diterima dari Wazuh_input. Sehingga akan terdapat value konstan yang bisa menjadi parameter untuk dipasangkan dengan index yang sudah dibuat tadi.
Berikutnya kembali ke Streams dan klik Manage rules.
Klik Add rules lalu masukkan parameter sebagai berikut.
Biarkan radio button pada lokasinya, klik I’m done! lalu terakhir klik Start stream.
Generate wazuh alert dengan melakukan login SSH, perhatikan log yang masuk. Gambar ini menunjukkan log sudah disimpan dalam index yang tadi sudah dibuat.
Kesimpulan
Wazuh alert sudah berhasil dicerna (ingest) oleh Graylog dan mudah dibaca untuk analisis lebih lanjut. Cara log ingestion ini bisa juga diterapkan pada log lain yang dikirimkan ke Graylog. Hal ini yang membuat Graylog mudah dimanfaatkan menjadi Centralized Log storage. Happy loggin dan selamat ngoprek!
Referensi
Part 5. Intelligent SIEM Logging. Seamlessly parse your security logs… | by SOCFortress | Medium