# Implementasi SIEM dengan Menggunakan Wazuh dan Elastic Stack

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/SIEM.png" alt=""><figcaption></figcaption></figure>

## Introduction

### SOC

SOC merupakan singkatan dari [**Security Operations Center**](https://www.ncsc.gov.uk/collection/building-a-security-operations-centre) dan tujuan utama dari SOC adalah untuk menjaga keamanan informasi maupun melindungi sistem dan data organisasi dari potensi ancaman keamanan. SOC beroperasi sebagai pusat di mana para profesional keamanan bekerja sama untuk mempertahankan sikap waspada dan proaktif terhadap risiko keamanan.

SOC menggunakan berbagai tool dan teknologi untuk memantau kejadian keamanan, menganalisa data dan merespon insiden. Salah satu alat penting yang sering digunakan dalam lingkup SOC adalah [**SIEM (Security Information and Event Management)**](https://www.cisco.com/c/en/us/products/security/what-is-siem.html).

Korelasi antara SOC dan SIEM terkait erat dengan peran mereka yang saling melengkapi dalam ekosistem keamanan siber, antara lain:

1. **Monitoring & Detection:** SOC mengandalkan kemampuan SIEM untuk memantau dan mendeteksi peristiwa keamanan. Beberapa tool SIEM mengumpulkan dan menganalisa data log, peringatan dan informasi lain dari berbagai sumber, memberikan pandangan yang komprehensif tentang lanskap keamanan organisasi.
2. **Incident Analysis & Response:** Ketika SIEM mengidentifikasi potensi insiden keamanan atau anomali, SIEM akan meneruskan informasi ini ke SOC. Analis keamanan di SOC menggunakan data yang disediakan oleh SIEM untuk menyelidiki insiden lebih lanjut, menentukan sifat dan tingkat keparahan ancaman serta merumuskan rencana respon.
3. **Centralized Management:** SIEM berfungsi sebagai platform terpusat untuk mengelola dan menganalisa peristiwa keamanan, sementara SOC berfungsi sebagai pusat operasional tempat para profesional keamanan menginterpretasikan data dan mengambil tindakan yang tepat. Integrasi SIEM dalam SOC menyederhanakan proses deteksi, analisis dan respon insiden.
4. **Reporting & Compliance:** Baik SIEM maupun SOC berkontribusi pada upaya pelaporan dan kepatuhan. SIEM menghasilkan laporan berdasarkan peristiwa dan aktivitas keamanan, yang membantu audit kepatuhan. Tim SOC menggunakan laporan ini untuk menilai postur keamanan organisasi dan memastikan kepatuhan terhadap kebijakan dan peraturan keamanan.

Singkatnya, SIEM dan SOC bekerja sama untuk meningkatkan postur keamanan siber organisasi. SIEM menyediakan infrastruktur teknologi untuk mengumpulkan dan menganalisa data keamanan, sementara tim SOC memanfaatkan informasi ini untuk secara aktif memantau, merespon, dan memitigasi ancaman keamanan secara real-time. Kolaborasi antara SIEM dan SOC sangat penting untuk mempertahankan pertahanan keamanan siber yang powerful dan proaktif.

### SIEM

SIEM (Security Information and Event Management) adalah pendekatan komprehensif dalam mengelola informasi dan kejadian keamanan di lingkungan teknologi informasi suatu organisasi, diantaranya seperti:

1. **Security Information Management (SIM):** Meliputi pengumpulan, normalisasi dan analisis data keamanan dari berbagai sumber di seluruh infrastruktur TI organisasi. Data ini dapat mencakup file log, data peristiwa, dan informasi lainnya.
2. **Security Event Management (SEM):** Berfokus pada pemantauan, korelasi dan analisis peristiwa keamanan secara real-time untuk mengidentifikasi potensi ancaman dan kerentanan keamanan. SEM membantu dalam deteksi dini insiden keamanan.
3. **Security Incident Management:** Menyediakan alat dan proses untuk merespon dan mengelola insiden keamanan. Hal ini dapat mencakup identifikasi insiden, analisis, penahanan, pemberantasan, pemulihan, dan pembelajaran.
4. **Compliance Reporting:** Membantu organisasi menunjukkan kepatuhan terhadap peraturan dan standar yang relevan dengan membuat laporan dan peringatan berdasarkan aturan dan kebijakan yang telah ditetapkan.
5. **Log Management:** Melibatkan pengumpulan, penyimpanan, dan penyimpanan data log dari berbagai sumber dalam repository terpusat. Data ini dapat digunakan untuk analisis historis, investigasi forensik, dan tujuan kepatuhan.
6. **User and Entity Behavior Analytics (UEBA):** Memanfaatkan algoritma pembelajaran mesin dan analisis statistik untuk mengidentifikasi pola perilaku yang tidak biasa di antara pengguna dan entitas, membantu mendeteksi Insider Threat dan Advanced Persistent Threat (APT).

Dengan mengintegrasikan komponen-komponen ini, solusi SIEM memungkinkan organisasi untuk mendeteksi dan merespon insiden keamanan secara lebih efektif, mengelola persyaratan kepatuhan, dan mendapatkan wawasan tentang postur keamanan mereka secara keseluruhan.&#x20;

SIEM sangat penting bagi perusahaan besar dan organisasi yang menangani insiden keamanan dalam jumlah besar, karena sistem ini menyediakan platform terpusat untuk memantau dan mengelola informasi terkait keamanan.

### Wazuh

[**Wazuh**](https://wazuh.com) adalah platform Open Source Security Information and Event Management (SIEM), platform ini menyediakan alat untuk deteksi ancaman, respon insiden keamanan, manajemen log, dan kepatuhan. Wazuh dirancang untuk membantu organisasi melindungi infrastruktur TI mereka dari ancaman keamanan dan memfasilitasi pemantauan dan manajemen keamanan, berikut ini adalah beberapa fitur-fitur utama yang dimiliki oleh Wazuh:

1. **Threat Detection:** Wazuh menggunakan aturan deteksi ancaman yang telah ditetapkan untuk mengidentifikasi pola atau perilaku yang mencurigakan dalam log keamanan dan data.
2. **Security Event Management (SEM):** Wazuh memungkinkan pemantauan peristiwa keamanan secara real-time, analisis insiden, dan respon cepat terhadap masalah keamanan.
3. **SIEM Integration:** Wazuh dapat diintegrasikan dengan solusi SIEM lainnya, seperti ELK (Elasticsearch, Logstash, Kibana), untuk meningkatkan visibilitas dan analisis data keamanan.
4. **Log Management:** Wazuh membantu dalam pengumpulan, normalisasi, dan analisis log dari berbagai sumber, memberikan pemahaman yang lebih baik tentang peristiwa dan aktivitas di lingkungan TI.
5. **Compliance:** Wazuh menyertakan aturan kepatuhan untuk membantu organisasi mematuhi standar dan peraturan keamanan tertentu.
6. **File Integrity Monitoring (FIM):** Wazuh memonitor perubahan pada file dan direktori, melindungi dari modifikasi yang tidak sah atau aktivitas yang mencurigakan.
7. **Host-based Intrusion Detection System (HIDS):** Wazuh dapat berfungsi sebagai sistem deteksi intrusi berbasis host, mendeteksi aktivitas atau serangan yang mencurigakan di tingkat host.

Awalnya Wazuh dikembangkan sebagai project Open Source Security, Wazuh telah mendapatkan popularitas dan kontribusi komunitas. Selain itu, Wazuh menawarkan versi perusahaan (Wazuh Enterprise) yang menyediakan fitur dan dukungan tambahan untuk kebutuhan organisasi yang lebih besar. Organisasi dapat memanfaatkan Wazuh untuk meningkatkan postur keamanan mereka, mendeteksi dan merespon insiden keamanan, dan memastikan kepatuhan terhadap peraturan industri.

### Elastic Stack

Elastic Stack yang sebelumnya dikenal sebagai ELK Stack adalah paket software Open Source bundling yang dikembangkan oleh Elastic untuk mencari, menganalisa dan memvisualisasikan data secara real-time. Elastic Stack dirancang untuk bekerja bersama dengan efektif, memberikan solusi komprehensif untuk berbagai tugas yang berhubungan dengan data, termasuk analisis data log dan peristiwa, pencarian teks lengkap dan visualisasi data. Seiring berjalannya waktu, istilah ELK Stack diubah menjadi Elastic Stack untuk mencerminkan lebih banyak produk yang termasuk dalam ekosistem tersebut. Elastic Stack terdiri dari empat komponen utama diantaranya:

1. [**Elasticsearch**](https://www.elastic.co/elasticsearch)**:** Merupakan mesin pencari dan analitik distribusi yang dirancang untuk menyimpan, mencari, dan menganalisa data secara cepat. Elasticsearch memiliki kemampuan untuk melakukan pencarian mendalam (full-text search) dan analisis data yang powerful.
2. [**Logstash**](https://www.elastic.co/logstash)**:** Merupakan alat pengumpulan, pengolahan, dan pengiriman data. Logstash dapat mengambil data dari berbagai sumber, melakukan transformasi, dan mengirimkannya ke berbagai tujuan, seperti Elasticsearch, database, atau sistem penyimpanan lainnya.
3. [**Kibana**](https://www.elastic.co/kibana)**:** Merupakan antarmuka pengguna untuk Elasticsearch, menyediakan alat visualisasi dan analisis data. Kibana memungkinkan pengguna membuat grafik, dashboard, dan laporan berdasarkan data yang disimpan di Elasticsearch.
4. [**Beats**](https://www.elastic.co/beats)**:** Merupakan agen ringan yang dirancang untuk mengirimkan data ke Elasticsearch atau Logstash. Beats dapat digunakan untuk mengumpulkan data dari berbagai sumber, seperti log file, sistem operasi, atau data jaringan.

Dengan menggunakan Elastic Stack, organisasi dapat membangun solusi end-to-end untuk manajemen dan analisis data, termasuk pemantauan dan analisis log, analisis keamanan, visualisasi data, dan banyak lagi. Elastic Stack sangat populer di kalangan pengembang dan profesional IT karena kemampuannya yang powerful, skalabilitas, dan fungsionalitas yang dapat disesuaikan dengan berbagai kebutuhan pengguna.

## Installation

Pada implementasi SIEM kali ini kita akan melakukan instalasi serta melakukan konfigurasi Wazuh dan Elastic Stack menggunakan [**All-in-One Deployment**](https://documentation.wazuh.com/4.5/deployment-options/elastic-stack/all-in-one-deployment/index.html), untuk Wazuh dan Elastic Stack sendiri akan kita instalasi pada sistem operasi Ubuntu 22.04.3 LTS.

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/AIO%20Deployment.png" alt=""><figcaption><p>Wazuh with Elastic Stack All-in-One Deployment</p></figcaption></figure>

### Install Paket Software Pendukung

Sebelum melakukan instalasi serta melakukan konfigurasi pada Wazuh dan Elastic Stack, terlebih dahulu lakukan instalasi paket software pendukung yang dibutuhkan:

{% code overflow="wrap" lineNumbers="true" %}

```bash
apt-get install apt-transport-https zip unzip lsb-release curl gnupg
```

{% endcode %}

### Menambahkan Repository Elastic Stack

Selanjutnya tambahkan repository dari Elastic Stack yang nantinya akan digunakan melakukan instalasi paket software Elasticsearch sebagai inti dari Elastic Stack yang befungsi sebagai mesin pencarian dan analisis RESTful yang terdistribusi dan berikut langkah-langkahnya:

{% code overflow="wrap" lineNumbers="true" %}

```bash
curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/elasticsearch.gpg --import
chmod 644 /usr/share/keyrings/elasticsearch.gpg
echo "deb [signed-by=/usr/share/keyrings/elasticsearch.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.list
apt-get update
```

{% endcode %}

### Install Paket Software Elasticsearch

Setelah repository dari Elastic Stack sudah ditambahkan pada sistem operasi Ubuntu, selanjutnya melakukan instalasi paket software Elasticsearch:

{% code overflow="wrap" lineNumbers="true" %}

```bash
apt-get install elasticsearch=7.17.13
curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/elasticsearch_all_in_one.yml
```

{% endcode %}

### Pembuatan Sertifikat dan Deployment

Selanjutnya download file konfigurasi untuk membuat sertifikat, nantinya sertifikat di-generate dengan menggunakan tool bernama **`elasticsearch-certutil`**  dan berikut langkah-langkahnya:

{% code overflow="wrap" lineNumbers="true" %}

```bash
curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/instances_aio.yml
/usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip
unzip ~/certs.zip -d ~/certs
mkdir /etc/elasticsearch/certs/ca -p
cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/
chown -R elasticsearch: /etc/elasticsearch/certs
chmod -R 500 /etc/elasticsearch/certs
chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.*
rm -rf ~/certs/ ~/certs.zip
```

{% endcode %}

### Mengaktifkan Service Elasticserach

Setelah paket software Elasticserach sudah berhasil ter-install, selanjutnya lakukan verifikasi dengan mengecek status dari service Elasticserach, jika service belum running maka kita perlu start dan enable service terlebih dahulu:

{% code overflow="wrap" lineNumbers="true" %}

```bash
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch
```

{% endcode %}

### Generate Credential

Kemudian lakukan generate credential untuk role dan user dari Elastic Stack dan simpan password dari user **`elastic`** untuk kebutuhan langkah selanjutnya:

{% code overflow="wrap" lineNumbers="true" %}

```bash
/usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto
```

{% endcode %}

{% hint style="warning" %}
{% code title="Output" %}

```bash
Changed password for user apm_system
PASSWORD apm_system = lLPZhZkBS0COzzCrkLSF

Changed password for user kibana_system
PASSWORD kibana_system = TaLqVOnSOCKTYLIU0vDn

Changed password for user kibana
PASSWORD kibana = TaLqSOCXoqKTYLIU0vDn

Changed password for user logstash_system
PASSWORD logstash_system = UtuDv2tWkXGYLSOC9kWA

Changed password for user beats_system
PASSWORD beats_system = qZcbvCslafMpoSOCE9Ob

Changed password for user remote_monitoring_user
PASSWORD remote_monitoring_user = LzJpQiSOCncmCU2GLBTS

Changed password for user elastic
PASSWORD elastic = AN4UeQGA7SOC5iHpMla7
```

{% endcode %}
{% endhint %}

### Pengecekan Fungsi Elasticsearch

Setelah paket software Elasticsearch ter-install dan telah dilakukan konfigurasi, selanjutnya lakukan pemeriksaan apakah instalasi berhasil dilakukan atau tidak, jalankan perintah di bawah dan ganti parameter **`[ELASTICSEARCH_PASSWORD]`** dengan password user **`elastic`** yang telah dibuat pada langkah [**Generate Credential**](#generate-credential):

{% code overflow="wrap" lineNumbers="true" %}

```bash
curl -XGET https://localhost:9200 -u elastic:[ELASTICSEARCH_PASSWORD] -k
```

{% endcode %}

{% hint style="success" %}
{% code title="Output" %}

```bash
{
  "name" : "elasticsearch",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "qvJBQnVVRi-SOCRVtxB4zg",
  "version" : {
    "number" : "7.17.13",
    "build_flavor" : "default",
    "build_type" : "deb",
    "build_hash" : "2b211dbb8bfdecaf7f5b44d356bdfe54b10SOC13",
    "build_date" : "2023-08-31T17:33:19.958690787Z",
    "build_snapshot" : false,
    "lucene_version" : "8.11.1",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}
```

{% endcode %}
{% endhint %}

### Menambahkan Repository Wazuh

Langkah selanjutnya yakni melakukan instalasi Wazuh Server, sebelum melakukan instalasi paket software Wazuh pastikan untuk menambahkan repository dari Wazuh terlebih dahulu:

{% code overflow="wrap" lineNumbers="true" %}

```bash
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import
chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
apt-get update
```

{% endcode %}

### Install Wazuh Manager

Kemudian setelah repository Wazuh selesai ditambahkan, kita perlu melakukan instalasi Wazuh Manager terlebih dahulu untuk dapat melanjutkan proses selanjutnya:

{% code overflow="wrap" lineNumbers="true" %}

```bash
apt-get install wazuh-manager=4.5.4-1
```

{% endcode %}

### Mengaktifkan Service Wazuh Manager

Setelah paket software Wazuh Manager sudah berhasil ter-install, selanjutnya lakukan verifikasi dengan mengecek status dari service Wazuh Manager, jika service belum running maka kita perlu start dan enable service terlebih dahulu:

{% code overflow="wrap" lineNumbers="true" %}

```bash
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
systemctl status wazuh-manager
```

{% endcode %}

### Install Paket Software Filebeat

Setelah repository dari Elastic Stack sudah ditambahkan sebelumnya pada sistem operasi Ubuntu, selanjutnya melakukan instalasi paket software [**Filebeat**](https://www.elastic.co/beats/filebeat) untuk kebutuhan pengumpulan log yang nantinya akan dilakukan agregasi. Pastikan kita juga melakukan konfigurasi pada file konfigurasi **`filebeat.yml`** dan untuk parameter **`[ELASTICSEARCH_PASSWORD]`** ganti dengan password dari user **`elastic`** yang sebelumnya sudah dilakukan generate credential:

{% code overflow="wrap" lineNumbers="true" %}

```bash
apt-get install filebeat=7.17.13
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/filebeat_all_in_one.yml
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.5.4/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module
vi /etc/filebeat/filebeat.yml
```

{% endcode %}

{% hint style="warning" %}
{% code title="filebeat.yml" %}

```yaml
output.elasticsearch.password: [ELASTICSEARCH_PASSWORD]
```

{% endcode %}
{% endhint %}

### Menyalin Sertifikat untuk Filebeat

Selanjutnya salin sertifikat ke directory **`/etc/filebeat/certs/`** dan berikut langkah-langkahnya:

{% code overflow="wrap" lineNumbers="true" %}

```bash
cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/
cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt
cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key
```

{% endcode %}

### Mengaktifkan Service Filebeat

Setelah paket software Filebeat sudah berhasil ter-install, selanjutnya lakukan verifikasi dengan mengecek status dari service Filebeat, jika service belum running maka kita perlu start dan enable service terlebih dahulu:

{% code overflow="wrap" lineNumbers="true" %}

```bash
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat
```

{% endcode %}

### Pengecekan Fungsi Filebeat

Setelah paket software Filebeat ter-install dan telah dilakukan konfigurasi, selanjutnya lakukan pemeriksaan apakah instalasi berhasil dilakukan atau tidak, jalankan perintah di bawah:

{% code overflow="wrap" lineNumbers="true" %}

```bash
filebeat test output
```

{% endcode %}

{% hint style="success" %}
{% code title="Output" %}

```bash
elasticsearch: https://127.0.0.1:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 127.0.0.1
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK
  version: 7.17.13
```

{% endcode %}
{% endhint %}

### Install Paket Software Kibana

Selanjutnya melakukan instalasi paket softare Kibana untuk kebutuhan visualisasi dan analisis data yang diperoleh dari hasil agregasi log. Pastikan kita juga melakukan konfigurasi pada file konfigurasi **`kibana.yml`**, pada baris konfigurasi **`elasticsearch.password: [ELASTICSEARCH_PASSWORD]`** ubah parameter **`[ELASTICSEARCH_PASSWORD]`** dengan password dari user **`elastic`** yang sebelumnya sudah dilakukan generate credential dan tambahkan baris konfigurasi **`server.publicBaseUrl: https://[WAZUH_IP_ADDRESS]`** di bawah baris konfigurasi di atas, untuk parameter **`https://[WAZUH_IP_ADDRESS]`** ubah dengan URL dari Kibana yang dapat diakses dari publik, bisa dengan IP Public atau pun Domain/Sub-Domain:

{% code overflow="wrap" lineNumbers="true" %}

```bash
apt-get install kibana=7.17.13
mkdir /etc/kibana/certs/ca -p
cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/
cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key
cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt
chown -R kibana:kibana /etc/kibana/
chmod -R 500 /etc/kibana/certs
chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*
curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/kibana_all_in_one.yml
vi /etc/kibana/kibana.yml
```

{% endcode %}

{% hint style="warning" %}
{% code title="kibana.yml" %}

```yaml
elasticsearch.password: [ELASTICSEARCH_PASSWORD]
server.publicBaseUrl: https://[WAZUH_IP_ADDRESS]
```

{% endcode %}
{% endhint %}

Baris konfigurasi **`server.publicBaseUrl: https://[WAZUH_IP_ADDRESS]`** perlu ditambahkan pada file konfigurasi **`/etc/kibana/kibana.yml`** agar tidak muncul pesan warning seperti pada gambar di bawah ini, hal ini dilakukan untuk menghindari beberapa fitur yang ada di Kibana tidak berfungsi sebagaimana mestinya terkait dengan tautan maupun navigasi.

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/Configuration%20Missing.png" alt=""><figcaption><p>Configuration Missing</p></figcaption></figure>

### Membuat Directory Kibana

Setelah itu buat directory **`/usr/share/kibana/data`** yang nantinya akan digunakan menyimpan semua data terkait dengan Kibana dan berikut langkah-langakahnya:

{% code overflow="wrap" lineNumbers="true" %}

```bash
mkdir /usr/share/kibana/data
chown -R kibana:kibana /usr/share/kibana
```

{% endcode %}

### Install Plugin Wazuh Kibana

Kemudian lakukan instalasi paket software untuk plugin Wazuh Kibana:

{% code overflow="wrap" lineNumbers="true" %}

```bash
cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.5.4_7.17.13-1.zip
```

{% endcode %}

### Penautan Socket Kibana

Selanjutnya lakukan penautan socket Kibana ke port service 443 (HTTPS):

{% code overflow="wrap" lineNumbers="true" %}

```bash
setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
```

{% endcode %}

### Mengaktifkan Service Kibana

Setelah paket software Kibana sudah berhasil ter-install, selanjutnya lakukan verifikasi dengan mengecek status dari service Kibana, jika service belum running maka kita perlu start dan enable service terlebih dahulu:

{% code overflow="wrap" lineNumbers="true" %}

```bash
systemctl daemon-reload
systemctl enable kibana
systemctl start kibana
```

{% endcode %}

### Menonaktifkan Repository Paket Software

Kemudian setelah semua proses instalasi dan konfigurasi Elastic Stack beserta Wazuh selesai dilakukan, pastikan untuk menonaktifkan repository paket software yang saat ini digunakan, agar tidak terdapat pembaruan paket software secara individual yang tidak sengaja dilakukan, hal ini dilakukan untuk menghindari adanya potensi yang menyebabkan versi Elastic Stack yang belum dirilis untuk integrasi dengan Wazuh dan berikut langkah-langkahnya:

{% code overflow="wrap" lineNumbers="true" %}

```bash
sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/wazuh.list
sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/elastic-7.x.list
apt-get update
```

{% endcode %}

### Install Wazuh Agent

Apabila proses instalasi dan konfigurasi Elastic Stack beserta Wazuh selesai dilakukan, selanjutnya kita perlu melakukan instalasi Wazuh Agent pada endpoint yang akan kita lakukan monitoring dan untuk langkah-langkahnya kita dapat mengikuti dokumentasi resmi Wazuh di bawah ini sesuai dengan sistem operasi yang digunakan pada endpoint:

{% code overflow="wrap" %}

```url
https://documentation.wazuh.com/4.5/installation-guide/wazuh-agent/index.html
```

{% endcode %}

## Testing

Setelah semua proses instalasi dan konfigurasi Elastic Stack beserta Wazuh selesai dilakukan, langkah terakhir yakni melakukan pengujian pada Wazuh dengan mengaksesnya secara langsung melalui Web Browser.

### Akses Wazuh Melalui Web Browser

Untuk mengakses Wazuh kita perlu membukanya melalui Web Browser, kita dapat mengunakan Web Browser seperti [**Chromium**](https://www.chromium.org/Home), [**Google Chrome**](https://www.google.com/chrome), [**Mozilla Firefox**](https://www.mozilla.org/en-US/firefox), [**Brave**](https://brave.com), [**Safari**](https://www.apple.com/safari) maupun [**Microsoft Edge**](https://www.microsoft.com/en-us/edge), untuk Web Interface dari Wazuh sendiri menggunakan Kibana sehingga membutuhkan data credential dari Elasticsearch yang sebelumnya sudah dilakukan generate pada langkah [**Generate Credential**](#generate-credential) dan berikut detailnya:

{% hint style="warning" %}
{% code title="Data Credential" %}

```markdown
URL: https://[WAZUH_IP_ADDRESS]
Username: elastic
Password: [ELASTICSEARCH_PASSWORD]
```

{% endcode %}
{% endhint %}

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/Kibana%20Dashboard.png" alt=""><figcaption><p>Kibana Dashboard Login Page</p></figcaption></figure>

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/Kibana%20Main%20Dashboard.png" alt=""><figcaption><p>Kibana Main Dashboard</p></figcaption></figure>

> **Catatan:**
>
> Komponen pusat Wazuh harus memiliki versi yang sama hingga ke kategori patch untuk pengoperasian yang benar, sebagai contoh:
>
> * Wazuh Manager 4.5.4, Wazuh Indexer 4.5.4 dan Wazuh Dashboard 4.5.4.
>
> * Wazuh Indexer 4.5.4 kompatibel dengan Filebeat-OSS 7.10.2.
>
> Dan untuk Wazuh Manager harus selalu menggunakan versi terbaru atau sama dengan versi Wazuh Agent, sebagai contoh:
>
> * Wazuh Manager 4.5.4 dan Wazuh Agent 4.2.7.
>
> * Wazuh Manager 4.5.4 dan Wazuh Agent 4.5.4.
>
> Wazuh Manager juga kompatibel dengan OSSEC Agent akan tetapi tidak semua kemampuan tersedia dengan OSSEC.

Demikian sedikit pengetahuan dan pengalaman yang dapat saya bagikan, semoga apa yang telah saya sampaikan dapat bermanfaat bagi kita semua.

<details>

<summary><strong>Referensi</strong></summary>

* [**Installing Wazuh with Elastic Stack**](https://documentation.wazuh.com/4.5/deployment-options/elastic-stack/index.html)
* [**Uninstalling Wazuh with Elastic Stack**](https://documentation.wazuh.com/4.5/user-manual/uninstall/elastic-stack.html)
* [**Configure Kibana**](https://www.elastic.co/guide/en/kibana/8.11/settings.html)
* [**Wazuh agent**](https://documentation.wazuh.com/4.5/installation-guide/wazuh-agent/index.html)
* [**Compatibility matrix**](https://documentation.wazuh.com/4.5/upgrade-guide/compatibility-matrix/index.html#wazuh-central-components-and-agents)

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://blog.madfxr.my.id/documentation/categories/cyber-security/implementasi-siem-dengan-menggunakan-wazuh-dan-elastic-stack.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.