Thursday, December 01, 2011

OSSIM

OSSIM adalah Open Source SIEM. Kata SIEM sendiri adalah singkatan Security Information and Event Management. OSSIM menggabungkan berbagai tool security ke dalam sebuah paket, baik tool yang bersifat aktif maupun pasif. OSSIM adalah gabungan dari IDS (Intrusion Detection System), vulnerability assessment, anomaly detection, network and availability detection, firewall, dll. OSSIM dikemas dalam bentuk distro.

Dalam keamanan informasi ada 4 proses yang bisa dilakukan, yaitu deteksi, pengkajian,  tindakan dan proteksi. Fungsi OSSIM adalah alat untuk deteksi atau alat monitoring gangguan keamanan. Hasil pemantauan, perlu dikaji atau dianalisa oleh manusia untuk kemudian dilakukan tindakan dan proteksi. Dalam computer security yang paling penting adalah langkah pertamanya, deteksi dan pemantauan. Nah, dengan OSSIM ini deteksi gangguan keamanan menjadi lebih mudah. Namun kalau kitanya tidak bisa menggunakan apalagi menafsirkan hasil keluaran OSSIM, tetap saja tidak ada gunanya. Kemampuan analisis terhadap pola gangguan menjadi penting.

Meskipun kelihatannya OSSIM mirip IPS (Intrusion Prevention System), namun sebenarnya beda. Dan OSSIM bukanlah software untuk me-manage perangkat. Tapi kalau software untuk me-manage log, ada benarnya. Yang perlu dipantau terus menerus ada 4 zone, yaitu perimeter, DMZ, hotspot dan intranet.

AlienVault OSSIM memiliki 4 elemen, yaitu Framework, Database, SIEM dan sensor.