How to enter the world of logs and cybersecurity.
🇨🇿 Česká verze je níže / Czech version is below.
Although it hasn’t been a long time since I joined the cyber-sec team in TeskaLabs, I started calling it “unicorn”. All members of the team are constantly exploring and working on their “superpowers” and hence becoming a unique part of the group. Just like unicorns.
As soon as I jumped on a cyber company’s imaginary surfboard and started riding these endless waves of information containing unfamiliar terms such as logs, enrichment, MITRE, OWASP, JSON, VPN and much more, I started having mixed feelings. The first was a fearful thought – what if I fall from the surfboard and drown? But my anxiety was quickly defeated by a stronger sensation that filled me with adrenalin and gave me energy from something new that made sense. Precisely like when you ride a wave and know that after a high tide there is always a low tide which washes everything irrelevant out (in my case some doubts). So I instinctively knew that the waves of information are eventually going to make sense.
Get deeply into a subject always pays out
I was going through the MITRE database together with all the techniques and tactics on how to defeat a cyber security enemy. Then I cross referenced this database with the OWASP project and information about security risks and threats. Suddenly a log was no longer an unknown term for me but a powerful asset containing valuable information that could be extracted and visualized.
World championship in dashboards
One of the first tasks was to acquaint myself with dashboards and start creating them neatly, if possible. “Create a new dashboard for Microsoft Office 365 in Kibana, please” was the assignment. Even though I knew from my previous UX what is Microsoft Office 365 about and what does it consists of (such as sharepoint, onedrive, exchange and more), it was still a completely abstract request for me because I didn’t know how to proceed and create a correct dashboard.
I took it one step at a time, starting with what I already knew, which were logs. Going through them, looking for information that I would easily recognize.
Don't forget to choose the right dataset, enter the filters and there you go. I added the first visualization in the form of a pie chart into the dashboard and I finally understood. Dashboards make it possible to track and see instantly all the information I want to see as a security or IT professional, such as KPIs, trend identification and more, without having to spend hours reading logs. Almost everyone uses Microsoft Office 365, so it's worth having a nice visual display of all the important values so that we can easily detect deviations from the normal state, which in the case of Microsoft Office 365 can be excessive file downloads, too many failed logins, etc.
However, my slight OCD tendencies kept me up at night and I wondered how to make the dashboard even better. I tried changing widget types (visualizations) hundreds of times, but it still wasn't perfect. What helped me was the fact that I imagined who would actually view the dashboard and what they would want to see in it. This way I don't need to try to create the best dashboard in the world myself, but feedback is essential to improve it.
JSON is only the beginning
As soon as I got better in visualizations in Kibana the time has come to start writing in JSON syntax and create dashboards in LogMan.io that way. My head was spinning after the workshop with Franta, but as soon as I reviewed some information about widget configuration everything got apprehensible. Writing JSONs has its own laws just as any other data format. You cannot make up your own syntax in English either. The idea is to automate everything and follow the procedures where, for example, data is represented in pairs, compound brackets contain objects and each name is followed by a colon, and square brackets contain arrays and values are separated by a comma.
After a few lines I started to understand my text and I automatically projected its visual form, in this case which dashboard or what widgets am I creating. I felt like a wonderwoman with unlimited hacking capabilities during the first days.
However, I know that the journey as a cyber-specialist is a long one, and although I would like to bring some super awesome news from the world of cyber-security at the end of this article, as a "cyber-security rookie" I will at least share the knowledge and feelings that I gradually collect. Besides creating dashboards and writing in a new language, it is also essential to stay alert, keep up and discover possible and impossible cyber threats. Every year, this is how the most "trending" and current threats are picked out from the otherwise plethora of threats. And what are they this time? Well one of them is ... or you know what? You'll find out in the next article, and maybe I’ll throw in some extra news as well.
So don’t forget to follow github, linkedin a twitter.
🇨🇿 Jak vkročit do světa logů a kybernetické bezpečnosti
Je to jen sice chvilka, co jsem nastoupila do Teskalabs, do cyber security týmu, kterému ráda říkám „unicorn‟. Každý člen si zde postupně buduje a objevuje své „superpowers‟, a stává se tak do jisté míry jedinečným článkem. Přesně jako jednorožci.
Jakmile jsem naskočila na pomyslné surfařské prkno kybernetické bezpečnosti a začala sjíždět po nekonečné vlně informací, obsahující pro mě dosud neznámé pojmy jako logy, enrichment, MITRE, OWASP, JSON, VPN a mraky dalších, začaly se ve mě míchat pocity. Tím prvním byla obava, že z toho prkna spadnu a „utopím se‟? Rychle ji ale vystřídal další pocit – adrenalin z něčeho nového, co mi jakýmsi intuitivním způsobem dávalo smysl. Přesně jako když sjíždíte vlnu a víte, že po přílivu vždy přijde odliv a smete s sebou zbytečnosti (v mém případě pochyby), i já jsem věděla, že se mi informace spojí a začnou dávat smysl.
Zavrtat se do hloubky se vyplácí
Procházela jsem databázi MITRE spolu s obsaženými technikami a taktikami protivníka při kybernetických hrozbách. Pak to proložila projektem OWASP a informacemi o bezpečnostních rizicích a hrozbách. A najednou pro mě nebyl log jenom jednou z neznámých, ale věděla jsem, že v sobě skrývá informace, které můžu vytáhnout a vizualizovat.
Mistrovství světa v dashboardech
Jedním z prvních úkolů bylo rozkoukat se a vnořit se, pokud možno ladně, do tvorby dashboardů. „Vytvoř v Kibaně nový dashboard pro Microsoft Office 365 prosím‟, znělo zadání. Sice jsem již věděla, čím se Microsoft Office 365 vyznačuje a co vše do něj spadá, jako Sharepoint, Onedrive, Exchange a další, ale stejně jsem si neuměla představit, co z toho mám zaznamenat a jak vlastně zhmotním odpovídající dashboard.
Šla jsem na to pěkně postupně, od toho, co už znám, a to jsou logy. Procházela jsem jimi a hledala v nich informace, které na mě z dálky mávnou.
Stačilo nezapomenout zvolit správný dataset, zadat filtry a bylo to tady! Přidala jsem první vizualizaci v podobě koláčového grafu do dashboardu a už chápu. Díky dashboardům lze sledovat a na první pohled vidět všechny informace, které jako bezpečnostní či IT specialista chci znát, jako jsou KPI, identifikace trendů a další, a nemuset tak trávit hodiny čtením logů. Microsoft Office 365 používají skoro všichni, proto je tak důležité mít dobrý vizuální nástroj, kde můžeme lehce odhalit odchylky od normálního stavu, kterými mohou být v případě Microsoft Office 365 třeba nadměrné stahování souborů nebo příliš mnoho chybných přihlášení.
Avšak mé lehké OCD sklony mě nenechávaly v noci klidně spát a já přemýšlela, jak dashboard ještě vylepšit. Zkoušela jsem měnit typy widgetů (vizulizací) snad stokrát a stále to nebylo dokonalé. Pomohlo mi představit si, kdo vlastně bude daný dashboard sledovat a co by v něm chtěl vidět. Netřeba se tak snažit vytvořit nejlepší dashboard na světě sama, ale zásadní je zpětná vazba, díky které ho mohu vylepšovat.
JSON je teprve začátek
Jakmile jsem si natrénovala vizualizace v Kibaně, přišel na řadu další krok, a to začít psát syntax JSON, a tvořit tak dashboardy ve LogMan.io. Po workshopu s Frantou mi sice zase chvíli šla hlava kolem, ale nakonec jsem zjistila, jak na konfigurace widgetů. Psaní JSONů má své zákonitosti jako každý jiný datový formát. Angličtinu také nepíšete ve slovosledu, který vás zrovna napadne. Jde o to si vše zautomatizovat a pochopit, že data jsou reprezentována ve dvojicích, složené závorky obsahují objekty a za každým jménem následuje dvojtečka a hranaté závorky obsahující pole a hodnoty, které jsou odděleny čárkou.
Po pár napsaných řádcích mi začalo docházet, jakou budou mít vizuální podobu, tedy v tomto případě jaký dashboard a widgety tvořím. První dny jsem si připadala jako wonderwoman s nekonečnými schopnostmi hackera.
Nicméně vím, že cesta kyber-specialisty je dlouhá, a i když bych na konci tohoto článku chtěla přinést nějakou super úžasnou novinku ze světa cyber-security, tak jako „cyber-security benjamín‟ se s vámi alespoň podělím o poznatky a pocity, které postupně sesbírám. Mimo tvorbu dashboardů a psaní v novém jazyce, je také potřeba být ve střehu, držet krok a objevovat možné i nemožné kybernetické hrozby. Každoročně se objevují nejvíc „trendy‟ a aktuální hrozby z té jinak nepřeberné škály. A jaké, že to jsou tentokrát? No jednou z nich je… anebo víte co? To se dozvíte v dalším článku a možná k nim přihodím ještě o novinku navíc.
Most Recent Articles
- A beginner-friendly intro to the Correlator for effective cybersecurity detection
- Inotify in ASAB Library
- From State Machine to Stateless Microservice
- Entangled ways of product development in the area of cybersecurity #3 - LogMan.io
- Entangled ways of product development in the area of cybersecurity #2 - BitSwan
You Might Be Interested in Reading These Articles
The 8th version of the European Certificate Trust List (ECTL) for C-ITS has been released
The Joint Research Centre of the European Commision (EC JRC) released the eight edition of the European Certificate Trust List (ECTL) used in Cooperative Intelligent Transport Systems (C-ITS). L0 ECTL v8 contains five new Root CA certificates and one re-keyed Root CA certificate. Three out of five newly inserted Root Certificates are installations that run on the TeskaLabs SeaCat PKI software for C-ITS.
press
automotive
c-its
v2x
security
Published on September 16, 2021
How to Teach Your Kids to Safely Play Pokemon GO
This summer something strange has occurred in my household. Suddenly, all of my children ranging in age from 9 to 18 are willingly piling into our van the minute I mention driving anywhere- even to the grocery store. And it’s not my company or the possibility of picking out this week’s cereal they are seeking. No, they are merely wanting a ride to aid them on their hunt for elusive Pokémon.
Published on August 30, 2016
Making Automated Mobility Safe
Autonomous vehicles are still working their way into the modern automotive marketplace. However, they are growing more common each year. Many agree, this is an innovative change, and it’s estimated that there will be more autonomous vehicles on the road in the coming years.
Published on July 15, 2019