Implementasi Security Orchestration, Automation, and Response dengan Wazuh & Shuffle untuk Otomasi Respon SOC di Departemen Teknologi Informasi Institut Teknologi Sepuluh Nopember

Sagita, I Putu Windy Arya (2024) Implementasi Security Orchestration, Automation, and Response dengan Wazuh & Shuffle untuk Otomasi Respon SOC di Departemen Teknologi Informasi Institut Teknologi Sepuluh Nopember. Other thesis, Institut Teknologi Sepuluh Nopember.

[thumbnail of 5027201071-Undergraduate_Thesis.pdf] Text
5027201071-Undergraduate_Thesis.pdf - Accepted Version
Restricted to Repository staff only until 1 April 2026.
Download (22MB)

Abstract

Ancaman serangan siber yang semakin tinggi memerlukan pendekatan yang lebih baik dalam meningkatkan ketahanan siber. Tugas akhir ini fokus pada implementasi sistem keamanan terintegrasi, menggabungkan Wazuh, Suricata, Shuffle, dan Iris, untuk meningkatkan kerja tim SOC. Wazuh akan digunakan sebagai SIEM dan XDR, Suricata digunakan sebagai NIDS untuk memonitor lalu lintas jaringan, Shuffle sebagai SOAR yang digunakan untuk orkestrasi dan otomasi sistem, serta Iris sebagai sistem manajemen kasus. Implementasi sistem pada tugas akhir ini dilakukan di Departemen Teknologi Informasi dengan menggunakan virtual machine dari server ESXi. Firewall juga dipasang pada jaringan untuk melakukan blokir penyerang dengan Raspberry Pi. Sistem SOAR ini diuji dengan dua serangan, yaitu serangan berbasis jaringan, seperti reconnaissance, bruteforce, DoS, dan serangan aplikasi web, seperti SQL injection, XSS. Dari hasil pengujian, sistem SOAR ini dapat mendeteksi serangan berbasis jaringan, reconnaissance dalam waktu sekitar 35 detik, bruteforce dalam waktu 10 detik, DoS dalam waktu sekitar 15 detik, serta DHCP starvation dalam waktu sekitar 10 detik. Sistem ini juga dapat mendeteksi serangan aplikasi web, SQL injection, XSS DOM dan reflected, serta file inclusion dalam waktu sekitar 2 hingga 5 detik. Mayoritas serangan yang berhasil dideteksi juga berhasil direspon dengan memblokir alamat IP pada firewall dalam waktu kurang dari 40 detik. Beberapa serangan yang tidak direspon adalah serangan dengan level di bawah 10. Selain itu, seluruh serangan yang terdeteksi dapat dieskalasikan menjadi sebuah case untuk investigasi lebih lanjut. Sistem SOAR pada tugas akhir ini dapat mengurangi kerja tim SOC dengan melakukan otomasi dalam pembuatan case serta respon pertama terhadap serangan.
===================================================================================================================================
Enhancing cyber resilience is crucial in response to the growing of cyberattacks. The ultimate objective is to develop a security system that integrates Wazuh, Suricata, Shuffle, and Iris. This integration aims to improve the efficiency and effectiveness of the SOC team's operations. Wazuh will serve as a Security Information and Event Management (SIEM) and Extended Detection and Response (XDR) system. Suricata will be employed as a Network Intrusion Detection System (NIDS). Shuffle will function as a Security Orchestration, Automation, and Response (SOAR) platform to coordinate and automate the system. Lastly, IRIS will be utilised as a case management system. The system implementation is carried out in the Department of Information Technology, utilising the virtual machine provided by the ESXi server. Firewall is implemented on the network to prevent unauthorised access from potential attackers. The efficacy of the SOAR system is evaluated by the testing of two types of attacks: a network-based attack and a web application attack. The test findings indicate that the SOAR system can identify network-based attacks, like reconnaissance within 35 seconds, brute force within 10 seconds, denial of service within 15 seconds, and detect DHCP starvation in around 10 seconds. Most of the attempts that were successfully detected were also effectively countered by blocking the corresponding IP addresses on the firewall in less than 45 seconds. In addition, the entire identified attack can be expanded into a case for additional investigation. The use of the SOAR system during this final project can streamline the workload of the SOC team by automating case-building and providing initial response to attacks.

Item Type: Thesis (Other)
Uncontrolled Keywords: Keamanan informasi, SOC, SIEM, SOAR, Otomasi, Information security, SOC, SIEM, SOAR, Automation
Subjects: Q Science > QA Mathematics > QA76.9.A25 Computer security. Digital forensic. Data encryption (Computer science)
T Technology > T Technology (General) > T58.5 Information technology. IT--Auditing
Divisions: Faculty of Intelligent Electrical and Informatics Technology (ELECTICS) > Information Technology > 59201-(S1) Undergraduate Thesis
Depositing User: I Putu Windy Arya Sagita
Date Deposited: 08 Feb 2024 23:33
Last Modified: 08 Feb 2024 23:33
URI: http://repository.its.ac.id/id/eprint/106448

Actions (login required)

View Item View Item