Apa itu ArcSight?

ArcSight adalah platform manajemen keamanan informasi dan acara (SIEM – Security Information and Event Management) yang dikembangkan oleh Micro Focus. Alat ini digunakan untuk membantu organisasi mengumpulkan, menganalisis, dan merespons data keamanan dari berbagai sumber di jaringan mereka.

Sedangkan ArcSight, Inc adalah perusahaan perangkat lunak Amerika yang menyediakan paket perangkat lunak manajemen keamanan dan kepatuhan untuk perusahaan dan lembaga pemerintah. Perusahaan ini diakuisisi oleh Hewlett-Packard (HP) pada tahun 2010. Ketika HP terpecah menjadi dua perusahaan, HP Inc. dan Hewlett Packard Enterprise, anak perusahaan ArcSight milik HP dialihkan ke perusahaan yang terakhir. HPE kemudian menjual anak perusahaan ArcSight tersebut ke Micro Focus. OpenText mengakuisisi Micro Focus (termasuk ArcSight) pada tahun 2023.

Berikut adalah fitur utama ArcSight:

1. Pengumpulan Data

  • ArcSight mengumpulkan log dan data keamanan dari berbagai perangkat, seperti firewall, server, endpoint, sistem IDS/IPS, aplikasi, dan jaringan.
  • Mendukung berbagai format log, seperti syslog, file log, atau protokol lainnya.

2. Korelasi Acara (Event Correlation)

  • Memungkinkan penggabungan data dari berbagai sumber untuk mendeteksi pola serangan atau ancaman yang mungkin tidak terdeteksi pada data mentah.
  • Menggunakan aturan korelasi untuk mendeteksi ancaman dengan lebih akurat, misalnya, mendeteksi brute force atau exfiltration data.

3. Dashboard dan Visualisasi

  • Menyediakan antarmuka visual untuk analisis data keamanan secara real-time.
  • Dashboard mencakup informasi seperti tren ancaman, status keamanan, dan aktivitas mencurigakan.

4. Deteksi Ancaman

  • Dilengkapi dengan mekanisme untuk mendeteksi anomali atau serangan yang menggunakan teknik seperti machine learning.
  • Mampu mendeteksi Advanced Persistent Threats (APT).

5. Penyelidikan Insiden

  • Membantu tim keamanan dalam proses analisis forensik setelah insiden terjadi.
  • Menyediakan jejak audit dan waktu kejadian untuk memahami bagaimana suatu serangan terjadi.

6. Integrasi

  • Terintegrasi dengan banyak alat keamanan lainnya seperti solusi endpoint, alat deteksi intrusi, dan alat analitik keamanan.
  • ArcSight Logger memungkinkan penyimpanan data log dalam jumlah besar untuk keperluan arsip atau regulasi.

7. Otomasi

  • Mendukung otomatisasi respons ancaman, seperti memblokir IP, memutus koneksi, atau memberi peringatan kepada admin.

Keuntungan Menggunakan ArcSight:

  • Mempercepat waktu deteksi ancaman.
  • Meningkatkan efisiensi tim SOC (Security Operations Center).
  • Memberikan kepatuhan terhadap regulasi keamanan (seperti GDPR, PCI-DSS, HIPAA).

ArcSight biasa digunakan oleh organisasi besar yang memiliki infrastruktur IT kompleks, seperti bank, perusahaan teknologi, dan lembaga pemerintahan.

Menginstal dan Menggunakan ArcSight

Penting: Jangan fokus ke tutorial berikut dengan mengabaikan dokumentasi resmi! Menginstal dan menggunakan ArcSight memerlukan beberapa langkah, terutama karena ini adalah solusi tingkat enterprise yang kompleks. Proses ini biasanya melibatkan pengaturan server, konfigurasi, dan integrasi dengan berbagai sumber data. Berikut panduan umum:


Persiapan Sebelum Instalasi

  1. Periksa Persyaratan Sistem
    • Sistem operasi: Biasanya, ArcSight ESM (Enterprise Security Manager) mendukung sistem berbasis Linux (seperti CentOS, RHEL).
    • Spesifikasi hardware: Minimal CPU, RAM, dan penyimpanan sesuai dokumentasi resmi ArcSight.
    • Pastikan server memiliki akses jaringan ke semua perangkat yang ingin dipantau.
  2. Unduh ArcSight
    • Anda memerlukan akun di situs resmi Micro Focus untuk mengunduh perangkat lunak ArcSight.
    • Lisensi diperlukan untuk mengakses file instalasi.
  3. Persiapkan Database
    • ArcSight biasanya memerlukan database, seperti PostgreSQL atau Oracle, untuk menyimpan log dan konfigurasi.
    • Pastikan database diinstal dan dikonfigurasi sebelum instalasi ArcSight ESM.

Langkah Instalasi

  1. Unduh dan Ekstrak File Instalasi
    • Salin file instalasi ArcSight ke server Anda.
    • Ekstrak file dengan perintah: tar -xvf ArcSightESMInstaller.tar.gz
  2. Jalankan Installer
    • Arahkan ke folder hasil ekstraksi dan jalankan installer: ./install.sh
    • Ikuti panduan interaktif untuk mengonfigurasi:
      • Lokasi file log.
      • Koneksi ke database.
      • Port yang akan digunakan.
  3. Konfigurasi Awal
    • Setelah instalasi selesai, akses antarmuka web (biasanya di port 8443).
    • Masukkan kredensial admin yang dibuat selama instalasi.
    • Konfigurasi integrasi awal dengan perangkat log (misalnya, firewall, server, atau endpoint).
  4. Instal Komponen Lain (Opsional)
    • ArcSight Logger: Untuk mengumpulkan dan menyimpan data log.
    • ArcSight SmartConnector: Untuk menghubungkan ArcSight dengan perangkat spesifik.
    • Ikuti dokumentasi untuk komponen tambahan.

Menggunakan ArcSight

  1. Akses ArcSight
    • Gunakan browser untuk membuka antarmuka web.
    • Masuk dengan kredensial admin.
  2. Integrasi Data
    • Tambahkan sumber log seperti firewall, server, atau perangkat keamanan lainnya.
    • Gunakan ArcSight SmartConnector untuk memastikan format log kompatibel.
  3. Dashboard dan Monitoring
    • Gunakan dashboard untuk melihat event log, status ancaman, dan tren keamanan.
    • Atur filter untuk memprioritaskan ancaman kritis.
  4. Korelasi dan Pembuatan Aturan
    • Buat aturan korelasi untuk mendeteksi serangan atau aktivitas mencurigakan.
    • Contoh: Jika terjadi 5 upaya login gagal dalam 1 menit dari IP yang sama, kirimkan peringatan.
  5. Investigasi Insiden
    • Gunakan tab investigasi untuk menelusuri log dan memahami rincian ancaman.
    • Lakukan analisis root cause jika diperlukan.
  6. Otomasi Respons
    • Konfigurasi tindakan otomatis seperti memblokir IP atau mengirim email peringatan ke tim keamanan.

Tips dan Best Practices

  • Pembaruan Rutin: Pastikan sistem selalu menggunakan versi terbaru untuk perlindungan optimal.
  • Backup Database: Lakukan backup database secara berkala untuk menghindari kehilangan data log.
  • Monitoring Aktif: Tetapkan personel untuk memantau dashboard secara real-time.
  • Latih Tim: Pastikan tim keamanan memahami penggunaan ArcSight, khususnya pembuatan aturan dan analisis insiden.

Jika Anda memerlukan panduan lebih detail atau dokumentasi resmi, Anda bisa merujuk ke situs Micro Focus ArcSight atau mendiskusikan dengan tim vendor penyedia. Artikel ini tidak disponsori oleh ArcSight maupun Micro Focus. Namun jika pihak Micro Focus ingin berkontribusi kepada Kamsib, bisa menghubungi tim di hubungi@kamsib.id.

This article is not sponsored by ArcSight or Micro Focus. However, if Micro Focus would like to contribute to Kamsib, they can contact the team at hubungi@kamsib.id.

Leave a Reply

Your email address will not be published. Required fields are marked *