Tahukah Anda dalam dunia digital yang serba cepat seperti sekarang, file dan direktori di komputer bukan cuma sekadar kumpulan data biasa? Di dalamnya bisa tersimpan informasi penting, mulai dari data pelanggan, konfigurasi sistem, sampai dokumen internal perusahaan.
Masalahnya, perubahan pada file-file ini sering terjadi tanpa disadari. Bisa karena kesalahan pengguna, malware, atau bahkan upaya peretasan. Kalau sudah begitu, risikonya bukan main: mulai dari kebocoran data sampai sistem yang tiba-tiba rusak.
Nah, disinilah Wazuh File Integrity Monitoring (FIM) berperan sebagai salah satu kontrol penting dalam keamanan sistem dan kepatuhan regulasi. Dengan pemantauan perubahan file dan direktori secara real-time, Wazuh FIM membantu tim IT mendeteksi aktivitas mencurigakan lebih awal, sebelum berdampak pada sistem dan bisnis.
Wazuh sendiri merupakan perangkat lunak open source yang berfokus untuk melindungi aset digital dari ancaman keamanan dengan menyatukan kemampuan Manajemen Informasi dan Peristiwa Keamanan (SIEM), Deteksi dan Respons yang Diperluas (XDR).
Salah satu modul utamanya, yaitu File Integrity Monitoring (FIM) yang berfungsi untuk memantau file sistem dan aplikasi penting terhadap adanya perubahan, penghapusan, maupun penambahan file, baik yang dilakukan oleh pengguna yang berwenang maupun yang tidak berwenang.
Setiap aktivitas terhadap file yang dipantau akan dicatat secara real-time dan dikirim ke server Wazuh untuk dianalisis. Dengan demikian, Wazuh dapat memberikan peringatan apabila ada aktivitas mencurigakan atau pelanggaran kebijakan keamanan pada sistem.
Apa itu File Integrity Monitoring?
File Integrity Monitoring (FIM) adalah sebuah proses keamanan yang digunakan untuk memantau dan memastikan integritas berkas pada sistem operasi, aplikasi, serta direktori penting suatu organisasi.
FIM berfungsi sebagai lapisan pertahanan penting dalam strategi keamanan siber dengan cara mendeteksi adanya perubahan yang tidak sah terhadap aset sensitif, seperti data penting, file konfigurasi sistem, maupun file aplikasi.
Proses pemantauan ini dilakukan dengan cara memindai dan memverifikasi file secara rutin atau real-time. Setiap perubahan terhadap isi, atribut, atau hak akses file akan dicatat dan dianalisis. Jika ditemukan perubahan yang mencurigakan, sistem dapat menghasilkan peringatan (alert) agar administrator segera melakukan investigasi.
Fitur Utama Wazuh File Integrity Monitoring (FIM)
Wazuh FIM memiliki beberapa fitur utama yang menjadi keunggulan dalam memantau dan memberikan peringatan tentang perubahan pada berkas dan direktori yang mengindikasikan adanya penyusupan atau serangan siber.
- Pemantauan Secara Real-time
Wazuh memantau berkas dan direktori sistem secara real-time untuk mendeteksi perubahan dan memicu peringatan yang memungkinkan untuk mengambil tindakan segera. - Deteksi Pelanggaran Keamanan
Wazuh menggunakan nilai hash untuk mendeteksi perubahan sistem berkas, mengidentifikasi aktivitas berbahaya, dan mengurangi ancaman internal ataupun eksternal. - Dukungan Lintas Platform
Wazuh FIM menyediakan dukungan lintas platform seluruh infrastruktur TI dan mendukung berbagai sistem operasi, termasuk Windows, Linux, dan macOS. - Pemantauan Kepatuhan
Wazuh FIM memantau modifikasi pada berkas dan direktori sesuai dengan regulasi seperti PCI DSS, HIPAA, NIST 800-53, TSC, dan GDPR. - Manajemen Terpusat
Wazuh memiliki dasbor yang memungkinkan Anda mengonfigurasi dan mengelola kebijakan FIM, menganalisis peringatan, dan menjalankan tugas administratif. - Skalabilitas
Wazuh mempunyai Arsitektur terdistribusi yang memungkinkan pengoperasian skalabel dengan mendistribusikan beban kerja ke beberapa node.
Manfaat Wazuh File Integrity Monitoring (FIM)
Beberapa manfaat Wazuh FIM bagi keamanan dan kepatuhan sistem:
- Manajemen Perubahan
Wazuh FIM memverifikasi proses manajemen perubahan berjalan benar dan memeriksa berkas untuk melihat apakah berkas tersebut berubah, bagaimana dan kapan, serta siapa atau apa yang mengubahnya. - Deteksi dan Respon Ancaman
FIM memantau integritas berkas, mendeteksi perubahan izin, memantau aktivitas pengguna dan berkas. Kemampuan ini memberikan peringatan terperinci untuk respons cepat terhadap ancaman yang terdeteksi. - Kepatuhan Regulasi
Kemampuan FIM membantu organisasi memenuhi persyaratan regulasi keamanan data, privasi dan retensi data. Memantau berkas penting untuk mengetahui adanya perubahan yang merupakan persyaratan penting untuk regulasi seperti PCI DSS, HIPAA, dan GDPR.
Bagaimana Cara Wazuh FIM Bekerja?
Modul Wazuh FIM menjalankan pemindaian secara berkala pada jalur yang ditentukan dan memantau perubahan pada direktori tertentu secara real-time.
FIM menyimpan checksum dan atribut dari berkas di dalam basis data FIM lokal. Setelah pemindaian, kemudian agen Wazuh melaporkan setiap perubahan yang ditemukan pada jalur yang dipantau ke server Wazuh. Modul FIM mencari modifikasi berkas dan membandingkan checksum berkas dengan checksum dan nilai atribut yang tersimpan yang akan mengeluarkan peringatan jika menemukan ketidaksesuaian.
Modul FIM Wazuh menggunakan dua basis data untuk mengumpulkan data FIM. Basis data berbasis SQLite lokal yang digunakan untuk menyimpan data.
– C:\Program Files (x86)\ossec-agent\queue\fim\db on Windows.
– /var/ossec/queue/fim/db on Linux.
– /Library/Ossec/queue/fim/db on macOS.
Serta Daemon wazuh-db digunakan untuk membuat dan mengelola basis data pada setiap agen di server Wazuh. Daemon menggunakan ID agen untuk mengidentifikasi basis data. Layanan ini menyimpan basis data di /var/ossec/queue/db.
Modul FIM menjaga sinkronisasi antara agen Wazuh dan basis data server Wazuh.
Mulai Wazuh versi 4.13.0, modul FIM hanya memantau berkas dan direktori yang terletak di sistem berkas lokal untuk Windows. Pemantauan jalur jaringan UNC seperti \\server\share\folder dan drive yang dipetakan seperti Z:\folder tidak didukung. Jalur apa pun yang diatur dalam konfigurasi akan diabaikan.
Perubahan ini mencegah risiko pencurian hash NetNTLMv2 dan eksekusi kode jarak jauh, karena mengakses berkas melalui berbagi jaringan dapat mengekspos hash autentikasi Windows kepada penyerang melalui negosiasi NTLMSSP.
Konfigurasi Dasar Wazuh
Hal pertama yang dilakukan sebelum melakukan konfigurasi adalah menentukan direktori modul FIM untuk memantau pembuatan, modifikasi, dan penghapusan file atau mengonfigurasi file spesifik yang dilakukan pemantauan.
Wazuh FIM mendukung pada sistem operasi Windows, Linux, dan macOS untuk pengaturan global dan pengaturan khusus.
Dalam Wazuh FIM kita harus mengatur file dan direktori yang akan dipantau dengan opsi direktori. Kemudian dapat memasukkan beberapa file dan direktori menggunakan entri yang dipisahkan koma atau menambahkan entri beberapa baris. Serta dapat mengonfigurasi menggunakan karakter pengganti *
Misalnya, C:\Users\*\Downloads.
Ketika modul Wazuh FIM menjalankan pemindaian, itu akan memicu peringatan jika menemukan file yang dimodifikasi. Peringatan ini dapat di monitor pada dasbor Wazuh.
Lakukan perubahan pada:
<FILEPATH_OF_MONITORED_FILE>
<FILEPATH_OF_MONITORED_DIRECTORY>
Dengan path file atau direktori yang akan dipantau.
- Tambahkan konfigurasi berikut pada agen Wazuh, ubah direktori dengan direktori yang inginkan:
• Linux: /var/ossec/etc/ossec.con.
Cara membuka file di terminal Linux: “sudo nano /var/ossec/etc/ossec.conf”
Contoh isi konfigurasi FIM di dalam file:
• Windows: C:\Program Files (x86)\ossec-agent\ossec.conf
Contoh isi konfigurasi FIM di dalam file:
• MacOS: /Library/Ossec/etc/ossec.conf
Cara membuka file dengan hak akses admin: sudo nano /Library/Ossec/etc/ossec.conf
Contoh isi konfigurasi FIM di dalam file:
Setelah selesai mengubah dan menyimpan file, restart service Wazuh agent dengan hak Administrator.
- Restart Wazuh agent menggunakan administrator:
• Linux: systemctl restart wazuh-agent
• Windows: Restart-Service -Name wazuh
• MacOS: /Library/Ossec/bin/wazuh-control restart
Catatan: Pada Wazuh 5.0.0 sistem operasi Red Hat 5, CentOS 5, Oracle Linux 5, SUSE Linux Enterprise Server 11, Windows XP, Windows Vista, Windows Server 2003, Solaris, AIX, dan HP-UX Linux sudah tidak di dukung
Implementasikan Wazuh FIM Bersama i3
Mari lindungi data dan direktori Anda dari bahaya bersama i3, dengan Wazuh File Integrity Monitoring (FIM) memberikan pendekatan terstruktur untuk memantau perubahan file secara real-time dan membantu organisasi membangun kontrol keamanan yang lebih proaktif.
Tim IT profesional dan bersertifikat i3 akan membantu rangkaian proses implementasi Wazuh FIM pada lingkungan perusahaan Anda. Ingin memahami lebih lanjut mengenai Wazuh FIM? Hubungi kami di link berikut.
Written by : Risqhon Helmi & Yandri Reuter, Consultant Infrastructure
Edited by: Pipit Pirda Damayanti, Marketing