# Integrasi VirusTotal di Wazuh untuk Deteksi Malicious File

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/VirusTotal.png" alt=""><figcaption></figcaption></figure>

## Introduction

[**VirusTotal**](https://www.virustotal.com) adalah tool online yang memungkinkan pengguna untuk memeriksa file, file hash, domain, IP Address maupun URL tertentu terhadap berbagai mesin pemindai antivirus dan antimalware. Tool ini membantu pengguna untuk mengidentifikasi apakah suatu file atau URL dianggap berbahaya atau mengandung malware oleh berbagai program antivirus dan antimalware yang ada.

Berikut ini adalah beberapa poin-poin penting terkait dengan VirusTotal:

1. **Pemeriksaan Antivirus yang Komprehensif:** VirusTotal menggunakan berbagai mesin pemindai antivirus dan antimalware dari berbagai vendor terkemuka. Ketika kita mengunggah file atau memasukan URL, tool ini akan memeriksanya menggunakan sejumlah besar program antivirus dan antimalware untuk memberikan laporan tentang apakah file atau URL tersebut dianggap aman atau memiliki potensi berbahaya.
2. **Integrasi dengan Komunitas Keamanan:** VirusTotal juga berfungsi sebagai platform kolaboratif di mana pengguna dapat berbagi file dan URL untuk diperiksa oleh komunitas. Informasi ini dapat membantu orang lain untuk menentukan apakah suatu file atau URL memiliki reputasi yang baik atau buruk.
3. **Informasi Detail:** Setelah proses pemeriksaan selesai, VirusTotal memberikan laporan yang mencakup informasi detail tentang hasil pemindaian, termasuk jumlah mesin pemindai antivirus dan antimalware yang mendeteksi file atau URL sebagai potensi berbahaya.
4. **Pemindaian File dan URL:** VirusTotal mendukung pemindaian file (baik itu berkas executable, dokumen, gambar, atau jenis file lainnya) serta pemindaian URL untuk memeriksa apakah website tersebut dapat dianggap memiliki potensi berbahaya.
5. **API untuk Integrasi:** VirusTotal menyediakan API (Application Programming Interface) yang memungkinkan pengembang untuk mengintegrasikan tool ini ke dalam aplikasi keamanan mereka sendiri.

Penting untuk diingat bahwa VirusTotal tidak menyediakan perlindungan aktif seperti yang dilakukan oleh antivirus maupun antimalware tradisional. Sebaliknya, ini adalah tool diagnostik yang membantu pengguna dan profesional keamanan untuk mengevaluasi potensi risiko dari file atau URL tertentu.

## Configuration

### Integrasi VirusTotal di Wazuh Manager

Sebelum melakukan integrasi VirusTotal ke Wazuh, pastikan kita sudah melakukan instalasi dan konfigurasi Wazuh sebelumnya, untuk implementasi terkait SIEM dapat mengikuti artikel [**Implementasi SIEM dengan Menggunakan Wazuh dan Elastic Stack**](https://blog.madfxr.my.id/documentation/categories/cyber-security/implementasi-siem-dengan-menggunakan-wazuh-dan-elastic-stack).

Selanjutnya untuk melakukan integrasi VirusTotal ke Wazuh, kita perlu melakukan konfigurasi pada Wazuh Manager dan melakukan perubahan pada file **`/var/ossec/etc/ossec.conf`**, kemudian tambahkan baris konfigurasi di bawah tepat di atas bagian **`<!-- Osquery integration -->`** dan ubah parameter **`[VIRUSTOTAL_API]`** dengan API Key yang sudah didapatkan dari VirusTotal, jika belum memilikinya silakan membuat akun VirusTotal terlebih dahulu untuk mendapatkan API Key tersebut, kemudian simpan perubahan dan berikut perintahnya:

{% code overflow="wrap" lineNumbers="true" %}

```bash
cd /var/ossec/etc
vi ossec.conf
```

{% endcode %}

{% hint style="warning" %}
{% code title="/var/ossec/etc/ossec.conf" %}

```markdown
  <!-- Wazuh VirusTotal Integration -->
  <integration>
    <name>virustotal</name>
    <api_key>[VIRUSTOTAL_API]</api_key>
    <group>syscheck</group>
    <alert_format>json</alert_format>
  </integration>
```

{% endcode %}
{% endhint %}

### Restart Service Wazuh Manager

Selanjutnya lakukan restart service pada Wazuh Manager dan lihat apakah service-nya telah running dengan normal:

{% code overflow="wrap" lineNumbers="true" %}

```bash
systemctl restart wazuh-manager
systemctl status wazuh-manager
```

{% endcode %}

### Konfigurasi Wazuh Agent

Kemudian kita perlu melakukan konfigurasi pada Wazuh Agent yang akan dilakukan monitoring, lakukan perubahan pada file **`/var/ossec/etc/ossec.conf`** dan tambahkan baris konfigurasi di bawah tepat pada bagian **`<!-- File integrity monitoring -->`**, setelah itu masukan directory yang akan dilakukan monitoring oleh VirusTotal secara real-time dan ubah frekuensi pemindaian syscheck dari 12 jam (**43200**) menjadi 1 menit (**60**) pada bagian **`<frequency></frequency>`**,  simpan perubahan kemudian lakukan restart service Wazuh Agent.

{% hint style="warning" %}
{% code title="/var/ossec/etc/ossec.conf" %}

```markdown
<!-- File integrity monitoring -->
  <syscheck>
    <!-- Frequency that syscheck is executed default every 12 hours -->
    <frequency>60</frequency>

    <!-- Directories to check  (perform all possible verifications) -->
    <directories check_all="yes" realtime="yes">/,/root,/bin,/etc,/home,/opt,/tmp,/usr,/var,/boot,/dev,/lib,/lost+found,/media,/mnt,/proc,/run,/sbin,/srv,/sys</directories>
  </syscheck>
```

{% endcode %}
{% endhint %}

### Restart Service Wazuh Agent

Selanjutnya lakukan restart service pada Wazuh Agent dan lihat apakah service-nya telah running dengan normal:

{% code overflow="wrap" lineNumbers="true" %}

```bash
systemctl restart wazuh-agent
systemctl status wazuh-agent
```

{% endcode %}

## Testing

### Login ke Wazuh

Lakukan login ke Wazuh untuk mengaktifkan modul VirusTotal, masukan data credential dari Elasticsearch yang sebelumnya sudah dilakukan generate pada langkah [**Generate Credential**](https://blog.madfxr.my.id/documentation/categories/cyber-security/implementasi-siem-dengan-menggunakan-wazuh-dan-elastic-stack#generate-credential), klik **Log in**.

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/Kibana%20Dashboard.png" alt=""><figcaption><p>Kibana Dashboard Login Page</p></figcaption></figure>

### Mengaktifkan Modul VirusTotal

Setelah login ke Wazuh, selanjutnya masuk ke **Kibana > Wazuh > Settings > Modules**.

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/Wazuh%20Module.png" alt=""><figcaption><p>Wazuh Module</p></figcaption></figure>

Kemudian cari bagian **Threat Detection and Response** dan aktifkan modul **VirusTotal** agar dashboard dari VirusTotal dapat diakses secara langsung dan kita dapat melakukan monitoring malware secara real-time melalui Wazuh.

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/VirusTotal%20Module.png" alt=""><figcaption><p>VirusTotal Module</p></figcaption></figure>

### Akses Dashboard VirusTotal

Kemudian kembali ke halaman dashboard Wazuh dan ke **Kibana > Wazuh > Modules > Threat Detection and Response > VirusTotal**.

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/Kibana%20Main%20Dashboard.png" alt=""><figcaption><p>Kibana Main Dahsboard</p></figcaption></figure>

### Memilih Wazuh Agent

Setelah masuk ke dashboard dari VirusTotal, klik pada **Explore agent** untuk memilih Wazuh Agent yang ingin kita lihat hasil monitoring malware-nya secara real-time (Misal: **ID: 002**).

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/Select%20Wazuh%20Agent.png" alt=""><figcaption><p>Explore Wazuh Agent</p></figcaption></figure>

### VirusTotal Dashboard

Jika sudah selesai memilih Wazuh Agent yang ingin kita lakukan monitoring malware secara real-time, kita bisa masuk ke tab menu **Dashboard** dan tentukan rentan waktu yang ingin kita lihat hasil monitoring-nya (Misal: **Last 7 days**) seperti pada gambar di bawah ini, terlihat ada 2 alert untuk Wazuh Agent dengan **ID: 002**, terlihat ada 2 file baru yang terdeteksi atau berhasil dipindai pada directory **`/var`** dan **`/opt`**, kedua file tersebut tidak terindikasi sebagai malicious file, maka tidak akan ditampilkan pada bagian **Link**, karena kedua file tersebut tidak tercatat pada database pelaporan malware di VirusTotal.

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/VirusTotal%20Dashboard%20Monitoring.png" alt=""><figcaption><p>VirusTotal Dashboard</p></figcaption></figure>

### VirusTotal Events

Selanjutnya masuk ke tab menu **Events** dan tentukan rentan waktu yang ingin kita lihat hasil monitoring-nya (Misal: **Last 7 days**) seperti pada gambar di bawah ini, terlihat ada 2 event untuk Wazuh Agent dengan **ID: 002** sama seperti alert yang sebelumnya ditampilkan di atas, terlihat ada 2 file baru yang terdeteksi atau berhasil dipindai pada directory **`/var`** dan **`/opt`**, kedua file tersebut tidak terindikasi malicious file, karena jika keduanya dianggap sebagai malicious file, maka akan terdeteksi pada bagian **data.virustotal.malicious**.

<figure><img src="https://nos.wjv-1.neo.id/cdn.medusa.my.id/VirusTotal%20Events.png" alt=""><figcaption><p>VirusTotal Events</p></figcaption></figure>

Demikian sedikit pengetahuan dan pengalaman yang dapat saya bagikan, semoga apa yang telah saya sampaikan dapat bermanfaat bagi kita semua.

<details>

<summary><strong>Referensi</strong></summary>

* [**VirusTotal integration**](https://documentation.wazuh.com/current/user-manual/capabilities/malware-detection/virus-total-integration.html)
* [**Detecting Malicious Files with Wazuh and VirusTotal**](https://kifarunix.com/detecting-malicious-files-with-wazuh-and-virustotal)

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://blog.madfxr.my.id/documentation/categories/cyber-security/integrasi-virustotal-di-wazuh-untuk-deteksi-malicious-file.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.