Lab SIEM - Security Incident Response Challenge
Level: Pemula Kembali ke Materi

Challenge: SecureNet Incident Response

Skenario:

Anda adalah seorang security analyst yang bekerja di SOC (Security Operations Center) perusahaan SecureNet. Pada akhir pekan, sistem SIEM (Security Information and Event Management) mendeteksi beberapa aktivitas mencurigakan. Tugas Anda adalah untuk menginvestigasi log-log yang tersedia, mengidentifikasi serangan yang sedang terjadi, dan merekomendasikan langkah-langkah untuk memitigasi serangan.

Tujuan Challenge:

  1. Analisis log SIEM untuk mengidentifikasi jenis serangan yang terjadi
  2. Temukan sumber dan target serangan berdasarkan log yang tersedia
  3. Rekomendasikan langkah respons insiden yang tepat
  4. Dapatkan flag dan verifikasi penyelesaian challenge
Challenge
Resources
Submit Flag
SecureNet SIEM Dashboard
Tanggal Log: 28 April 2025
Log Entries
12 Alerts
Incident Details

Pilih log entry untuk melihat detail

Summary
High Severity: 5
Medium Severity: 4
Low Severity: 3
Incident Analysis

Materi Bantuan & Tips

Gunakan resources berikut untuk membantu Anda menyelesaikan challenge ini:

SIEM (Security Information and Event Management) adalah solusi keamanan yang mengumpulkan dan menganalisis log dan alert keamanan dari berbagai sumber di dalam jaringan untuk menyediakan deteksi insiden real-time dan analisis keamanan.

Komponen utama SIEM:

  • Log Collection - Mengumpulkan data dari berbagai sumber
  • Normalization - Menyeragamkan format data
  • Correlation - Menghubungkan event-event terkait
  • Alerting - Memberikan notifikasi insiden
  • Dashboards - Visualisasi untuk analisis keamanan

Berikut adalah langkah-langkah untuk menganalisis log keamanan secara efektif:

  1. Identifikasi pola - Cari pola atau anomali yang menunjukkan aktivitas mencurigakan (misalnya percobaan login yang gagal berulang-ulang)
  2. Fokus pada timestamp - Perhatikan urutan waktu untuk memahami kronologi insiden
  3. Identifikasi aktor - Catat IP address, user agent, dan informasi identitas lainnya dari sumber yang mencurigakan
  4. Korelasikan event - Hubungkan beberapa event yang tampaknya terkait untuk mendapatkan gambaran lengkap
  5. Prioritaskan berdasarkan severity - Fokus pada alert dengan tingkat keparahan tinggi terlebih dahulu

Kenali ciri-ciri umum beberapa serangan dalam log:

  • Brute Force - Multiple failed login attempts dari IP yang sama dalam waktu singkat
  • SQL Injection - SQL syntax yang mencurigakan dalam parameter URL atau form input
  • Cross-Site Scripting (XSS) - Script tags atau JavaScript code dalam user input
  • DDoS - Jumlah request yang sangat tinggi dalam waktu singkat dari banyak sumber
  • Malware - Koneksi ke domain atau IP yang mencurigakan, aktivitas pada port yang tidak biasa

Berikut adalah tips untuk menyelesaikan challenge SIEM:

  1. Baca semua log entries dengan teliti dan catat pola yang muncul
  2. Perhatikan timestamp untuk memahami urutan kejadian
  3. Identifikasi IP address yang muncul berulang kali, terutama yang terkait dengan aktivitas mencurigakan
  4. Periksa jenis request (GET, POST) dan path URL untuk menentukan target serangan
  5. Analisis konten payload untuk menemukan indikator serangan spesifik 
// Contoh Format Log dalam SIEM

2023-04-28 08:42:13 [INFO] [192.168.1.100] Successfully logged in user: admin
2023-04-28 08:45:21 [WARN] [192.168.1.120] Failed login attempt for user: root
2023-04-28 08:45:27 [WARN] [192.168.1.120] Failed login attempt for user: admin
2023-04-28 08:45:32 [WARN] [192.168.1.120] Failed login attempt for user: administrator
2023-04-28 08:45:38 [CRITICAL] [192.168.1.120] Multiple failed login attempts detected - Possible brute force attack

// Contoh Analisis
- Source IP: 192.168.1.120
- Target: Login system
- Attack Type: Brute force login attempts
- Mitigasi: Block IP, enable account lockout after failed attempts, implement 2FA

Verifikasi Flag

Telah menyelesaikan challenge? Masukkan flag yang Anda dapatkan di bawah ini untuk verifikasi.

Petunjuk & Hints

Petunjuk Umum

Challenge ini berfokus pada kemampuan menganalisis log keamanan dan mengidentifikasi jenis serangan yang terjadi.

Perhatikan pola dalam log. IP address 45.33.22.10 melakukan aktivitas yang mencurigakan. Jika Anda melihat beberapa request dengan payload yang berisi karakter SQL seperti ' OR 1=1 --, ini menunjukkan kemungkinan serangan SQL Injection.

Untuk menyelesaikan challenge dan mendapatkan flag, Anda perlu menentukan:

  • Jenis serangan: SQL Injection
  • Source IP: 45.33.22.10
  • Target System: web-app-01
  • Mitigasi yang tepat: Update Firewall Rules dan Patch System
Kembali ke Materi Pembelajaran

Selamat!

Anda berhasil menyelesaikan SIEM Incident Response Challenge!

Flag Anda:

FLAG{S1EM_1NC1D3NT_R3SP0NSE_M4ST3R_2025}