BERITA IKMI-CSIRT
BERITA IKMI-CSIRT
Apa itu Security Operations Center (SOC)
2025-07-16 14:36:07
Security Operations Center(SOC) adalah sebuah pusat kendali yang menjadi jantung pertahanan keamanan siber di sebuah organisasi. Di ruangan yang sering dipenuhi layar besar menampilkan grafik, peta serangan, dan notifikasi sistem, para analis keamanan bekerja tanpa henti memantau jaringan, server, dan aplikasi untuk mendeteksi tanda-tanda serangan digital. Mereka bukan hanya menunggu alarm berbunyi, tetapi juga aktif menganalisis pola lalu lintas data demi menemukan ancaman tersembunyi yang mungkin luput dari perhatian. Ketika ada serangan, seperti peretasan atau malware yang mencoba masuk ke sistem, tim SOC bergerak cepat mengidentifikasi sumber masalah, menghentikan serangan, dan memperbaiki kerusakan yang terjadi. Selain itu, mereka juga mencatat setiap insiden dengan detail agar bisa dijadikan pelajaran untuk meningkatkan pertahanan di masa depan. Dengan keberadaan SOC, perusahaan merasa lebih aman karena ada tim yang selalu siaga menjaga data dan sistem mereka dari ancaman dunia maya yang kian canggih.
Untuk membangun sebuah Security Operations Center atau SOC, sebuah organisasi harus menyiapkan berbagai hal yang saling melengkapi, baik dari sisi teknologi, proses, maupun sumber daya manusia. Pertama, mereka perlu memilih lokasi fisik atau virtual tempat tim SOC akan bekerja, lengkap dengan infrastruktur jaringan, layar pemantau, dan perangkat keras yang mendukung aktivitas analisis secara real-time. Selain itu, berbagai perangkat lunak keamanan seperti SIEM (Security Information and Event Management) dipasang untuk mengumpulkan, mengolah, dan menganalisis data log dari seluruh sistem agar ancaman siber dapat terdeteksi sejak dini. Tidak kalah penting adalah membangun prosedur operasi standar yang jelas, mulai dari bagaimana cara mendeteksi insiden, merespons serangan, hingga melakukan forensik digital setelah kejadian. Namun, teknologi secanggih apa pun tidak akan berarti tanpa orang-orang yang terampil, sehingga organisasi juga harus merekrut atau melatih para analis keamanan, incident responder, dan spesialis forensik yang mampu bekerja di bawah tekanan dan berpikir kritis. Di samping itu, perlu juga disiapkan kebijakan keamanan dan kerja sama dengan pihak luar, seperti penyedia layanan intelijen ancaman siber, agar SOC selalu sigap menghadapi pola serangan baru. Semua elemen ini disatukan untuk memastikan SOC mampu melindungi aset digital organisasi secara efektif, setiap saat.
Ada beberapa aplikasi yang perlu disiapkan untuk membuat SOC, diantaranya:
A.Wazuh (SIEM)
panduan step-by-step instalasi Wazuh di server Ubuntu 20.04 (yang paling umum dipakai).
Panduan ini akan membantu kamu menginstal Wazuh Server, Dashboard, dan Agen di satu node.
1.Langkah 1-Siapkan Server Ubuntu
Pastikan server Ubuntu sudah update.
bash
CopyEdit
sudo apt update
sudo apt upgrade -y
Install paket dasar:
bash
CopyEdit
sudo apt install curl apt-transport-https unzip wget gnupg -y
2.Langkah 2-Instal Elasticsearch (atau OpenSearch)
Wazuh butuh penyimpanan data log.
Di sini kita pakai OpenSearch (alternatif Elasticsearch yang open-source).
a.Tambahkan repositori OpenSearch:
bash
CopyEdit
curl -fsSL https://artifacts.opensearch.org/publickeys/opensearch.pgp | sudo gpg --dearmor -o /usr/share/keyrings/opensearch-keyring
bash
CopyEdit
echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch.list
b. Update & install:
bash
CopyEdit
sudo apt update
sudo apt install opensearch -y
c. Edit konfigurasi:
Buka file:
bash
CopyEdit
sudo nano /etc/opensearch/opensearch.yml
Ubah atau tambahkan ini:
makefile
CopyEdit
network.host: 0.0.0.0
discovery.type: single-node
d. Aktifkan dan jalankan:
bash
CopyEdit
sudo systemctl daemon-reload
sudo systemctl enable --now opensearch
Cek status:
bash
CopyEdit
sudo systemctl status opensearch
3.Langkah 3-Instal Wazuh Manager
a. Tambahkan repositori Wazuh:
bash
CopyEdit
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --dearmor -o /usr/share/keyrings/wazuh-keyring
bash
CopyEdit
echo "deb [signed-by=/usr/share/keyrings/wazuh-keyring]
https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
b. Install Wazuh Manager:
bash
CopyEdit
sudo apt update
sudo apt install wazuh-manager -y
c. Jalankan dan cek:
bash
CopyEdit
sudo systemctl enable --now wazuh-manager
sudo systemctl status wazuh-manager
4.Langkah 4-Instal Wazuh Dashboard
a. Install paket dashboard:
bash
CopyEdit
sudo apt install wazuh-dashboard -y
b. Jalankan konfigurasi otomatis TLS:
bash
CopyEdit
sudo /usr/share/wazuh-dashboard/bin/wazuh-cert-tool.sh
Ini akan membuat sertifikat SSL agar dashboard aman.
c. Enable dan start dashboard:
bash
CopyEdit
sudo systemctl enable --now wazuh-dashboard
d. Setelah itu, buka browser:
cpp
CopyEdit
https://:5601
(Default user/password: admin / admin, nanti akan diminta ganti password.)
5.Langkah 5-Instal Wazuh Agent
Agent diinstal di server atau endpoint yang ingin dimonitor.
Misalnya kamu mau pasang agent di server yang sama:
bash
CopyEdit
sudo apt install wazuh-agent -y
Edit konfigurasi agen:
bash
CopyEdit
sudo nano /var/ossec/etc/ossec.conf
Cari bagian dan pastikan IP server manager sudah benar:
xml
CopyEdit
127.0.0.1
Aktifkan dan jalankan agen:
bash
CopyEdit
sudo systemctl enable --now wazuh-agent
6.Langkah 6-Verifikasi
Login ke Dashboard (https://:5601).
Pastikan node manager dan agen muncul.
Cek log monitoring sudah berjalan.
Tips Tambahan :
Port yang perlu dibuka di firewall:
1514/udp dan 1515/tcp (untuk agent)
9200/tcp (OpenSearch)
5601/tcp (Dashboard)
Dokumentasi resmi:
https://documentation.wazuh.com/current/index.html
Setelah instalasi, backup sertifikat TLS agar tidak hilang.
B.Shuffle(SOAR)
Langkah Step-by-Step Instalasi Shuffle (Docker)
1. Siapkan Server Ubuntu
Update sistem terlebih dahulu:
bash
CopyEdit
sudo apt update
sudo apt upgrade -y
Install dependensi dasar:
bash
CopyEdit
sudo apt install curl git apt-transport-https ca-certificates gnupg lsb-release -y
2. Install Docker & Docker Compose
Shuffle jalan paling mudah via Docker. Kalau Docker belum terinstall, jalankan:
Tambahkan GPG key Docker:
bash
CopyEdit
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
Tambahkan repo Docker:
bash
CopyEdit
echo \
"deb [arch=$(dpkg --print-architecture)signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] \
https://download.docker.com/linux/ubuntu \
$(lsb_release -cs)stable" | sudotee/etc/apt/sources.list.d/docker.list > /dev/null
Update & install:
bash
CopyEdit
sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io docker-compose-plugin -y
Pastikan Docker aktif:
bash
CopyEdit
sudo systemctlenable--now docker
sudo docker --version
3. Clone Repo Shuffle
Clone kode sumber Shuffle:
bash
CopyEdit
gitclonehttps://github.com/frikky/shuffle.git
cd shuffle
4. Jalankan Shuffle via Docker Compose
Di dalam repo shuffle, sudah ada file docker-compose.yml. Jalankan:
bash
CopyEdit
sudo docker compose up -d
Tunggu beberapa saat. Docker akan:
Build semua container Shuffle
Membuat database
Membuat backend & frontend Shuffle
5. Akses Shuffle Dashboard
Setelah selesai:
Buka browser:
cpp
CopyEdit
http://:3001
Kamu akan diminta daftar akun admin pertama kali. Buat akun dan login ke dashboard.
6. Tambah Apps & Workflows
Di dashboard Shuffle:
Tambah Apps → misalnya Slack, VirusTotal, TheHive, dll.
Buat Workflows dengan drag-drop langkah-langkah otomasi.
Set environment variable API keys sesuai kebutuhan tiap app.
7. (Opsional) Konfigurasi HTTPS
Default Shuffle berjalan di HTTP (port 3001). Untuk produksi, sebaiknya pakai reverse proxy (contoh Nginx atau Traefik) dan SSL cert dari Let’s Encrypt.
Misalnya pakai Nginx:
Buat virtual host
Pasang cert SSL
Proxy ke port 3001
Port Penting Shuffle
|
Layanan |
Port |
|
Shuffle UI |
3001 |
|
Shuffle API |
5001 |
|
Redis |
6379 |
|
Database (Mongo) |
27017 |
Cek Status Container
Cek semua container Shuffle:
bash
CopyEdit
sudo docker ps
Jika mau lihat log:
bash
CopyEdit
sudo docker logs
Dokumentasi Resmi Shuffle
Repo GitHub: https://github.com/frikky/shuffle
Dokumentasi: https://shuffler.io/docs
C.DFIR-IRIS (IR)
Langkah Step-by-Step Install DFIR-IRIS (Docker)
1. Siapkan Server Ubuntu
Update sistem:
bash
CopyEdit
sudo apt update
sudo apt upgrade -y
Pasang dependensi dasar:
bash
CopyEdit
sudo apt install curl git apt-transport-https ca-certificates gnupg lsb-release -y
2. Install Docker & Docker Compose
Jika Docker belum terpasang, jalankan:
Tambahkan GPG Key Docker
bash
CopyEdit
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
Tambahkan repo Docker:
bash
CopyEdit
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] \
https://download.docker.com/linux/ubuntu \
$(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
Install Docker:
bash
CopyEdit
sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io docker-compose-plugin -y
Cek Docker jalan:
bash
CopyEdit
sudo docker --version
3. Clone Repo DFIR-IRIS
Clone repo resmi:
bash
CopyEdit
git clone https://github.com/dfir-iris/iris-web.git
cd iris-web
4. Konfigurasi .env
Copy file env example:
bash
CopyEdit
cp .env.example .env
Edit .env dengan nano atau editor lain:
bash
CopyEdit
nano .env
Kamu bisa mengubah beberapa variabel, misalnya:
ini
CopyEdit
IRIS_DEFAULT_ADMIN_USER=irisadmin
IRIS_DEFAULT_ADMIN_PASSWORD=changeme123
IRIS_SECRET_KEY=mysecretkey
IRIS_DB_PASSWORD=irisdbpass
Pastikan:
Password cukup kuat
Secret key unik
5. Jalankan Docker Compose
Jalankan build:
bash
CopyEdit
sudo docker compose build
Kemudian jalankan IRIS:
bash
CopyEdit
sudo docker compose up -d
Tunggu beberapa menit. Docker akan:
Membuat container IRIS (backend)
Membuat container PostgreSQL (database)
Membuat container Nginx (reverse proxy)
6. Akses IRIS Web UI
Buka browser ke:
cpp
CopyEdit
http://
Login pakai user/password:
Username: irisadmin
Password: changeme123 (atau sesuai yang kamu atur di .env)
7. (Opsional) Konfigurasi HTTPS
IRIS default hanya jalan HTTP. Untuk produksi, sebaiknya pasang Nginx atau Traefik dengan SSL (Let’s Encrypt).
Edit docker-compose.yml
Tambah konfigurasi cert SSL
Atau pasang reverse proxy terpisah
8. Cek Status IRIS
Cek container IRIS:
bash
CopyEdit
sudo docker ps
Cek log IRIS:
bash
CopyEdit
sudo docker logs iris-web-iris-1
Port Penting DFIR-IRIS
|
Layanan |
Port |
|
IRIS Web UI |
80 |
|
PostgreSQL |
5432 |
Dokumentasi Resmi
GitHub: https://github.com/dfir-iris/iris-web
Docs: https://dfir-iris.github.io/documentation/
D.MISP (Threat Intel)
Step-by-Step Instalasi MISP di Ubuntu 22.04
1. Update Sistem dan Instalasi Dependensi Awal
bash
CopyEdit
sudo apt update && sudo apt upgrade -y
sudo apt install curl gnupg lsb-release software-properties-common -y
2. Install Apache, MariaDB, dan PHP
Install Apache dan MariaDB:
bash
CopyEdit
sudo apt install apache2 mariadb-server -y
Install PHP dan modulnya:
bash
CopyEdit
sudo apt install php php-cli php-mysql php-mbstring php-xml php-bcmath php-gd php-curl php-zip php-intl php-json php-readline php-opcache -y
Ubah versi timezone PHP (opsional):
bash
CopyEdit
sudo nano /etc/php/*/apache2/php.ini
Cari date.timezone → ubah menjadi:
ini
CopyEdit
date.timezone = Asia/Jakarta
3. Set Up Database MISP
Masuk ke MariaDB:
bash
CopyEdit
sudo mysql -u root
Lalu jalankan:
sql
CopyEdit
CREATE DATABASE misp;
GRANT ALL PRIVILEGES ON misp.* TO 'mispuser'@'localhost' IDENTIFIED BY 'MisP@password!';
FLUSH PRIVILEGES;
EXIT;
4. Install Redis & Other Tools
bash
CopyEdit
sudo apt install redis-server zip git gcc make python3 python3-dev python3-pip virtualenv -y
5. Clone MISP dan Siapkan Direktori
bash
CopyEdit
cd /var/www/
sudo git clone https://github.com/MISP/MISP.git
sudo chown -R www-data:www-data /var/www/MISP
6. Install Python Virtualenv untuk Workers
bash
CopyEdit
cd /var/www/MISP
virtualenv -p python3 venv
source venv/bin/activate
pip install -U pip setuptools
pip install -U -r REQUIREMENTS
deactivate
7. Konfigurasi Apache Web Server
Buat file konfigurasi Apache untuk MISP:
bash
CopyEdit
sudo nano /etc/apache2/sites-available/misp.conf
Isikan:
bash
CopyEdit
ServerAdmin admin@localhost
DocumentRoot /var/www/MISP/app/webroot
ServerName misp.local
Options -Indexes
AllowOverride All
Require all granted
ErrorLog ${APACHE_LOG_DIR}/misp_error.log
CustomLog ${APACHE_LOG_DIR}/misp_access.log combined
Aktifkan:
bash
CopyEdit
sudo a2dissite 000-default.conf
sudo a2ensite misp.conf
sudo a2enmod rewrite
sudo systemctl restart apache2
8. Konfigurasi MISP Default Settings
bash
CopyEdit
cd /var/www/MISP/app/Config
cp -a bootstrap.default.php bootstrap.php
cp -a database.default.php database.php
Edit file database.php:
bash
CopyEdit
sudo nano /var/www/MISP/app/Config/database.php
Isi dengan:
php
CopyEdit
'host' => 'localhost',
'login' => 'mispuser',
'password' => 'MisP@password!',
'database' => 'misp',
9. Set Folder Permission
bash
CopyEdit
sudo chown -R www-data:www-data /var/www/MISP
sudo chmod -R 750 /var/www/MISP
sudo chmod -R g+ws /var/www/MISP/app/tmp
sudo chmod -R g+ws /var/www/MISP/app/files
sudo chmod -R g+ws /var/www/MISP/app/files/scripts/tmp
10. Akses MISP Web UI
Buka browser:
cpp
CopyEdit
http://
Login default:
Username: admin@admin.test
Password: admin
Setelah login, langsung ubah password & setup instance setting (email, base URL, etc).
11. (Opsional) Instalasi Background Workers & Scheduler
bash
CopyEdit
sudo -u www-data bash
cd /var/www/MISP/app
./Console/worker/start.sh
exit
Lalu pasang cron job agar update otomatis:
bash
CopyEdit
sudo crontab -e -u www-data
Tambahkan:
bash
CopyEdit
*/5 * * * * /var/www/MISP/app/Console/cake Server pullAll
*/15 * * * * /var/www/MISP/app/Console/cake Event publish
MISP Sudah Siap Digunakan!
Tips Tambahan:
Gunakan HTTPS: pasang Let's Encrypt atau self-signed cert.
Integrasi MISP dengan TheHive, Shuffle, Cortex, dsb. bisa ditambahkan nanti.
Gunakan API key dari menu Users untuk integrasi tools SOC lainnya.
Referensi:
Official MISP install guide