Sign in Subscribe

๐Ÿ›ก๏ธ Wazuh dan SIEM: Keamanan Serius untuk Homelab Saya

Adrianus Aransina Tukan

2 min read
๐Ÿ›ก๏ธ Wazuh dan SIEM: Keamanan Serius untuk Homelab Saya

โœจ Pendahuluan

Di homelab saya, saya sudah punya monitoring layanan dengan Checkmk, dan notifikasi uptime pakai Uptime Kuma. Tapi saya merasa masih kurang: saya belum tahu apakah ada yang mencoba masuk SSH saya, atau kalau ada proses aneh berjalan di salah satu VM. Di sinilah SIEM masuk.

Dan dari sekian banyak pilihan, saya akhirnya jatuh cinta ke Wazuh.

๐Ÿ” Apa Itu SIEM?

SIEM (Security Information and Event Management) adalah sistem yang mengumpulkan, menganalisis, dan memberi notifikasi terhadap event keamanan dari berbagai sumber.

Bayangkan SIEM sebagai pusat komando yang menerima log dari semua server, firewall, container, dan aplikasi, lalu mencari pola-pola mencurigakan, seperti:

  • ๐Ÿ” Gagal login SSH berulang kali
  • ๐Ÿงฌ Perubahan file sistem yang tidak biasa
  • ๐Ÿ’ฅ Proses berjalan yang tidak dikenal
  • ๐Ÿ•ต๏ธ Aktivitas pengguna mencurigakan

SIEM bukan cuma log collector, tapi juga "detektif" otomatis.

๐Ÿง  Apa Itu Wazuh?

Wazuh adalah platform open-source yang menggabungkan log collection, intrusion detection, file integrity monitoring, vulnerability detection, dan banyak lagiโ€”semuanya dalam satu dasbor cantik.

Saya suka Wazuh karena:

  • Bisa terima log dari Linux, Windows, container, bahkan Mikrotik (via syslog)
  • UI berbasis Kibana, powerful dan bisa diatur
  • Deteksi anomali real-time
  • Notifikasi fleksibel (email, webhook, Discord, ntfy.sh, dsb)

โ— Kenapa SIEM Penting di Homelab?

Banyak yang mikir homelab itu bukan target serangan, padahal realitanya:

  • Kalau port SSH kamu kebuka, brute-force itu hampir pasti terjadi
  • Beberapa container punya CVE, bisa dieksploitasi kalau tidak update
  • Ada kemungkinan salah konfigurasi hak akses folder yang membocorkan data

SIEM seperti Wazuh membantu saya:

  • ๐ŸŽฏ Deteksi lebih awal sebelum insiden jadi parah
  • ๐Ÿงพ Log audit: siapa akses apa, kapan, dan dari mana
  • ๐Ÿ›ก๏ธ Tahu kalau ada malware/script aneh yang jalan diam-diam

๐Ÿณ Cara Install Wazuh via Docker

Wazuh secara default agak berat, tapi dengan Docker setup jadi lebih mudah. Saya gunakan docker-compose dari official repository mereka.

1. Clone repo

git clone https://github.com/wazuh/wazuh-docker.git
cd wazuh-docker/single-node

2. Jalankan

docker compose -f generate-indexer-certs.yml run --rm generator
docker compose up -d

3. Akses Web

  • Buka: https://IP-HOST
  • Username default: admin
  • Password default: SecretPassword (ubah segera!)

๐Ÿ”— Agen dan Integrasi

Untuk mulai memonitor server, saya pasang agen Wazuh di VM saya:

curl -sO https://packages.wazuh.com/4.7/wazuh-agent-4.7.2-linux-x86_64.sh
sudo bash wazuh-agent-4.7.2-linux-x86_64.sh

Edit file konfigurasi agent:

/var/ossec/etc/ossec.conf

Lalu arahkan ke IP si server Wazuh.

Saya juga integrasikan Wazuh dengan:

  • ๐Ÿง  MikroTik (via remote syslog)
  • ๐Ÿง Semua server Linux
  • ๐Ÿณ Container yang jalan di Proxmox

๐Ÿšจ Kelebihan Wazuh untuk Keamanan Server Saya

๐Ÿ‘ Kelebihan:

  • All-in-one SIEM gratis
  • Deteksi CVE otomatis
  • Bisa alert pakai ntfy.sh, Discord, atau email
  • Open-source dan aktif dikembangkan
  • Bisa jadi log server juga

๐Ÿ‘Ž Kekurangan:

  • Agak berat: minimum 2 GB RAM untuk server
  • UI butuh belajar (karena berbasis Elastic/Kibana)
  • Kadang over-alert, perlu tuning

๐ŸŽฏ Kesimpulan

Bagi saya, Wazuh adalah senjata utama di sisi pertahanan homelab. Jika Checkmk itu CCTV sistem saya, maka Wazuh itu alarm pintu yang langsung bunyi kalau ada maling.

Setup-nya memang sedikit lebih kompleks dibanding tool biasa, tapi hasilnya sepadan. Saya jadi lebih tenang tahu kalau server dan container saya diawasi 24/7 oleh sistem SIEM yang saya kontrol sendiri.

๐Ÿ“Œ Kalau kamu sudah punya monitoring layanan, langkah berikutnya adalah monitoring keamanan. Dan Wazuh bisa jadi partner terbaikmu dalam hal ini.